Google lanza Cloud Security Scanner para la búsqueda de vulnerabilidad en sitios bajo App Engine

Google entiende que los sistemas de escaneo de seguridad para las aplicaciones web no siempre son las adecuadas para los desarrolladores, pudiendo ser incluso de difí­cil configuración, con el añadido de que el exceso de información que se ofrecen desde los propios informes, hagan que estas herramientas están mayormente orientadas a los profesionales de la seguridad.

En este sentido, Google acaba de poner a disposición de los desarrolladores de App Engine el nuevo servicio Cloud Security Scanner, en fase beta, con la que podrán escanear sus aplicaciones web para detectar si disponen de dos vulnerabilidades comunes: cross-site scripting (XSS) y el contenido mixto. En cada verificación, Google cuenta con una pequeña red de bots de Compute Engine que escanean el sitio, ofreciendo unas quince peticiones por segundo. En una segunda pasada, el escaneo se fija en partes más complejas del mismo, y posteriormente, realiza una especie de ataque al mismo a través de una carga de peticiones.

Para realizar esta acción, Google utiliza el depurador integrado en la DevTools de Chrome, encargándose de comprobar cualquier cambio que se produzca en el navegador y en el DOM para verificar si la inyección se ha realizado satisfactoriamente, y por ende, si podrí­a llegar a ser explotada.

Google quiere con Cloud Security Scanner enfocarse en tres objetivos: que sea de fácil instalación y uso, que detecte los problemas más comunes a los que los desarrolladores de App Engine deben enfrentarse con mí­nimo de falsos positivos, y que soporte el escaneos potentes que puedan con aplicaciones web con pesados comandos JavaScript.

Para los interesados, Google ofrece más información del nuevo servicio dentro de Google Cloud Platform.