Firing Range เครื่องมือสแกนช่องโหว่ Web App โดย Google

web_app_secuirty
ภาพประกอบจาก http://computingnorthampton.blogspot.co.uk/

ไม่นานมานี้ Google ได้เผยแพร่เครื่องมือ Open-source ด้านความปลอดภัย คือ Firing Range ซึ่งเป็นแอพพลิเคชัน Java ที่พัฒนาบน Google App Engine สำหรับใช้ตรวจสอบช่องโหว่บนเว็บแอพพลิเคชันโดยเฉพาะ สามารถสแกนช่องโหว่ของเว็บแอพได้ตั้งแต่ช่องโหว่เล็กๆ ไปจนถึง XSS ในหลากหลายรูปแบบ

Firing Range ต่างจากเครื่องมือสแกนช่องโหว่ตัวอื่น คือ Firing Range นี้ถูกออกแบบมาเพื่อให้ทำงานโดยอัตโนมัติ ไม่ต้องอาศัยการทำงานจากผู้ใช้แต่อย่างใด

“ตัวทดสอบของพวกเราไม่ได้ถูกทำให้เป็นแอพพลิเคชันจริงๆ หรือออกแบบมาเพื่อให้เป็นตัวสแกนช่องโหว่ Firing Range เป็นกลุ่มของ Bug Pattern จากช่องโหว่ที่พวกเราค้นพบเมื่อพัฒนาแอพพลิเคชันต่างๆ ซึ่งถูกเอามาใช้เพื่อตรวจสอบศักยภาพในการตรวจจับช่องโหว่ของเครื่องมือด้านความปลอดภัย พวกเราใช้ Firing Range ทั้งสำหรับเป็นตัวช่วยในการทดสอบช่องโหว่ และไดรฟ์เวอร์สำหรับพัฒนาแอพพลิเคชัน เพื่อหาว่าแอพของเรามีบั๊คมากน้อยแค่ไหน” — Claudio Criscione วิศวกรด้านความปลอดภัยของ Google ได้ให้ข้อมูล

Firing Range ถูกสร้างขึ้นโดยทีมวิจัยของ Google และ Polytechnic University of Milan เนื่องจากพวกเขาต้องการเครื่องมือที่ใช้ตรวจสอบช่องโหว่ของเว็บแอพพลิเคชันสำหรับใช้กันภายในองค์กรเท่านั้น

อย่างไรก็ตาม สำหรับผู้ที่สนใจ สามารถดาวน์โหลด Source Code ของ Firing Range ได้บน GitHub และแบบ Public Instance

googel_firing_range

“พวกเราหวังว่า Firing Range จะเป็นเครื่องมือที่มีประโยชน์ต่อคนอื่นในการตรวจสอบช่องโหว่ของเว็บแอพ และพวกเราก็ยินดีรับคำแนะนำและข้อติชมจากทุกท่านที่สนใจด้านระบบรักษาความปลอดภัยด้วยเช่นกัน” — Ciscione เสริม

Firing Range นับว่าเป็นเครื่องมือทดสอบระบบความปลอดภัยตัวที่สองที่ Google เผยแพร่ออกมาต่อจาก nogotofail ซึ่งเป็นเครื่องมือทดสอบความปลอดภัยบนระบบเครือข่ายสำหรับใช้ Probe อุปกรณ์และแอพพลิเคชันต่างๆ รวมทั้งตรวจสอบ SSL Certificate และบั๊คบน HTTPS และ TLS/SSL Library เป็นต้น

ที่มา: http://www.net-security.org/secworld.php?id=17661

 


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เสริมพลังประมวลผลให้ถึงขีดสุด ตอบโจทย์ทุกการทำ Digital Transformation ด้วย HPE Superdome Flex 280 Server

เมื่อธุรกิจต่างหันมาพึ่งพาโลกออนไลน์เป็นหัวใจสำคัญในการดำเนินธุรกิจในแต่ละวัน ไม่ว่าจะเป็นการพัฒนาแอปพลิเคชันเพื่อเป็นช่องทางการขายหรือการให้บริการแก่ลูกค้า, การนำซอฟต์แวร์ ERP หรือ CRM มาใช้เพื่อให้พนักงานสามารถทำงานได้อย่างเป็นระบบ หรือกรณีอื่นๆ แนวโน้มเหล่านี้ได้ส่งผลให้ธุรกิจองค์กรนั้นต้องมองหาแนวทางที่จะทำให้ระบบดิจิทัลเหล่านี้สามารถทำงานได้อย่างมั่นคงทนทานและมั่นคงปลอดภัย เพื่อให้ธุรกิจดำเนินไปได้อย่างต่อเนื่องไม่สะดุดติดขัด

[Guest Post] 5 แนวโน้มธุรกิจไทย หลังประกาศใช้กม.คุ้มครองข้อมูลส่วนบุคคล

ปีนี้นอกจากภาคธุรกิจต้องฟื้นฟูกิจการจากพิษโควิดแล้ว การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งจะมีผลบังคับใช้ใน 1 มิถุนายนนี้ กำลังเริ่มเป็นที่จับตาของภาคธุรกิจไทยเชื่อมโยงไปถึงธุรกิจโลก เพราะทุกที่กำลังจับตาดูว่าไทยจะใช้กฎหมายนี้อย่างจริงจังขนาดไหน เพื่อเชื่อมโยงกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศที่บังคับกันอย่างจริงจังแล้ว โดยเฉพาะในสหภาพยุโรปซึ่งหากการบังคับใช้ไม่เกิดผลจริงจัง การกีดกันทางการค้าคงมีผลตามมา