google
یک
اسکنر امنیتی برای مشتریان
cloud
خود منتشر کرده تا با استفاده از آن بتوانند از حمله
روی اپلیکیشن وب خود محافظت
کنند.
مدیر مهندسی امنیت گوگل گفت: اسکنر امنیتی Google Cloud که در حال حاضر به عنوان یک بتای رایگان برای کاربران موتور اپلیکیشن گوگل در دسترس است برای غلبه بر تعدادی از محدودیت هایی که اغلب در اسکنر های امنیتی اپلیکیشن وب های تجاری موجود است،طراحی شده اند.
راه اندازی اسکنر های تجاری می تواند مشکل باشد وآن ها بیشتر برای متخصصان امنیت طراحی می شوند تا برنامه نویسان
اسکنر گوگل برای استفاده راحت طراحی شده است.این سرویس می تواند خطا ها را به صورت کد که از طریق xss (cross sidescripting) یا حمله mixe content تولید و استخراج شده اند،کشف کند.
اسکنر، اپلیکیشن وب را در چند مرحله بازرسی می کند . اولین قدم بررسی سریع کد html اپلیکیشن است که رابط front-end را برای کاربران ارائه می دهد. سپس در کد جاوا اسکریپت که منطق کسب وکار برای سایت است به صورت عمیق کاوش می کند.
معمولا حملات xss در سایت هایی اتفاق می افتد که به کاربر اجازه داده می شود مطالب خودش را در سایت قرار دهد مانند انجمن های بحث و گفت گو.اگر وب سرور نتواند به طور مناسب کد ها را در برنامه اجرا کند، حمله کننده می تواند کد های مخرب را در مواقعی که کاربر های دیگر، سایت را مشاهده می کنند ، اضافه کند. حمله های Mixed content از سایت هایی که از صفحات امنیتی https با صفحات عادیhttp ترکیب شده اند، برای حمله استفاده می کند.چنین سایت هایی می توانند کاربران را به فکر کردن اینکه دیتا امن است فریب دهند در حالیکه در واقعیت اینگونه نیست.
سرویس اسکن همه نوع های آسیب پذیری را پوشش نمی دهد بنابر این توصیه میشود مشتریان هنوز بررسی امنیت دستی را توسط متخصصین دریافت کنند.با گذشت زمان google سرویس را تا طیف عظیمی از آسیب پذیری ها گسترش خواهد داد.
رقیب google cloud platform یعنی وب سرویس آمازون سرویس اسکن امنیتی برای مشتریانش ارائه نمی دهد.هر چند تعدادی از شرکت های دیگر در حال ارائه سرویس های اسکن روی بازار آمازون هستند.
