2007年7月20日消息，Google正在開(kāi)發(fā)一款能夠自動(dòng)地發(fā)現(xiàn)其web應(yīng)用軟件中跨站點(diǎn)腳本缺陷的安全工具。
據(jù)國(guó)外媒體報(bào)道，代號(hào)為L(zhǎng)emon的這一工具通過(guò)提供隨機(jī)的數(shù)據(jù)輸入以觸發(fā)和曝露web應(yīng)用軟件中的缺陷。Lemon是一款黑盒測(cè)試工具。據(jù)Google安全團(tuán)隊(duì)成員Srinath Anantharaju稱，Lemon的開(kāi)發(fā)旨在發(fā)現(xiàn)跨站點(diǎn)腳本缺陷，但Google正在增添發(fā)現(xiàn)新攻擊途徑的方法，以提高這款工具發(fā)現(xiàn)其它已知安全問(wèn)題的能力。
Anantharaju在Google網(wǎng)絡(luò)安全博客中寫(xiě)道，我們的缺陷測(cè)試工具列舉一款web應(yīng)用軟件的URL和相應(yīng)的輸入?yún)��?shù)，它然后反復(fù)地提供有缺陷的輸入，以發(fā)現(xiàn)跨站點(diǎn)腳本缺陷和其它缺陷，對(duì)結(jié)果進(jìn)行分析，尋找存在這些缺陷的證據(jù)。
黑客通常通過(guò)在web應(yīng)用軟件中注入代碼觸發(fā)跨站點(diǎn)腳本攻擊。黑客也可以向用戶發(fā)送帶有惡意鏈接的電子郵件，當(dāng)用戶點(diǎn)擊這一鏈接時(shí)，系統(tǒng)就會(huì)加載一個(gè)網(wǎng)頁(yè)，黑客可以在網(wǎng)頁(yè)中注入可以在瀏覽器對(duì)話中執(zhí)行的腳本代碼。
Google計(jì)劃用這款工具測(cè)試它自己的web應(yīng)用軟件，但不會(huì)在近期內(nèi)發(fā)布這款工具。

標(biāo)簽： Google 安全 代碼 電子郵件 腳本 媒體 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。