Breaking News

Google เปิดตัว Cloud Security Scanner ช่วยตรวจสอบช่องโหว่ของโปรแกรม

google_logo

ถือว่าเป็นข่าวดีสำหรับนักพัฒนา Google App Engine ซึ่ง Google ได้เปิดตัวระบบตรวจสอบความปลอดภัยของแอพพลิเคชัน ที่เน้นการตรวจจับ Cross-Site Scripting (XSS) และช่องโหว่ประเภท Mixed Content อื่นๆ รวมทั้งสามารถตรวจสอบเว็บแอพพลิเคชันที่นิยมพัฒนาโดย JavaScript ได้เป็นอย่างดี

Credit: venimovenimo/ShutterStock
Credit: venimovenimo/ShutterStock

“การตรวจสอบช่องโหว่บนแอพพลิเคชันที่พัฒนาโดย HTML5 และ JavaScript ที่มาพร้อมกับ User Interface อันซับซ้อน อลังการงานสร้างเป็นอะไรที่ท้าทายมากกว่าการตรวจสอบบนหน้า HTML ธรรมดาอย่างเห็นได้ชัด” — Rob Mann ผู้จัดการด้านวิศวกรรมความปลอดภัยของ Google ให้ความเห็น

Google ระบุว่า Cloud Security Scanner ช่วยขจัดจุดอ่อนในการตรวจสอบช่องโหว่ของ Scanner ปกติที่มักมีปัญหาในเรื่องของการ Parsing HTML และจำลองการทำงานของ Browser รวมทั้ง Google Scanner มีระบบตรวจสอบอันทรงพลัง คือ ใช้ Botnet จาก Virtual Chrome Workers หลายร้อยเครื่องในการค้นหาช่องโหว่ของเว็บไซต์ แต่ไม่ถึงกับเป็นการรุมโจมตีจนเว็บไซต์นั้นใช้งานไม่ได้

google_cloud_security_scanner

สำหรับการตรวจสอบช่องโหว่ XSS ทาง Google Scanner ได้ใช้ Chrome DevTools ซึ่งรู้จักการทำงานของ JavaScript เป็นอย่างดีช่วยในการตรวจสอบ ทำให้เกิด False Positive ต่ำ หรืออาจจะไม่มีเลย อย่างไรก็ตาม วิธีนี้ไม่สามารถตรวจสอบบั๊คหรือช่องโหว่ที่เฉพาะเจาะจงสำหรับแอพพลิเคชันนั้นๆได้ ดังนั้นแล้ว การรีวิวความปลอดภัยของแอพพลิเคชันยังเป็นเรื่องสำคัญในการที่จะมั่นใจได้ว่า แอพพลิเคชันของตนเองปลอดภัย

Google Cloud Security Scanner ปัจจุบันอยู่ในช่วงการทดสอบ (เวอร์ชันเบต้า) ซึ่งสามารถใช้งานได้ผ่านทาง Developers Console ของ Google (Compute > App Engine > Security Scans)

ที่มา: http://www.net-security.org/secworld.php?id=17980


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Sophos ปล่อยฟรีผลิตภัณฑ์ Sandboxie พร้อมเปิดโอเพ่นซอร์ส

Sandboxie เป็นหนึ่งในผลิตภัณฑ์ส่วน Commercial ของ Sophos ซึ่งเมื่อไม่กี่วันที่แล้วได้มีการตัดสินใจปล่อยให้ดาวน์โหลดได้ฟรี พร้อมประกาศเปิดเป็นโอเพ่นซอร์สในทุกฟีเจอร์แบบไม่มีกั๊ก

AWS เผยบริการ Outposts ที่จะออกปลายปีสามารถรองรับ ECS, EKS, EMR และ Amazon RDS ได้

AWS Outposts หรือบริการ Hardware-as-a-service ที่กำลังจะเข้าสู่สถานะพร้อมใช้งานจริงในเดือนพฤศจิกายนนี้จะสามารถรองรับการใช้งาน Cluster ของ ECS, EKS, EMR และ Amazon RDS ได้