Google ha presentado Firing Range, una herramienta pensada para el análisis automático de aplicaciones web. Se trata de una aplicación Java construida con Google App Engine que busca vulnerabilidades, sobre todo aquellas de tipo Cross-Site Scripting (XSS).
Este es un proyecto open source, con lo cual el código ya está diponible en Github y hay una versión pública abierta para uso. Además de vulnerabilidades XSS, el escáner también busca otros tipos como reverse clickjacking, Flash injection y cross-origin resource sharing.
Según la comunicación de Google, el escáner está enteramente construido con tecnologías de la compañía como Chrome y Google Cloud Platform, soporta las últimas funcionalidades de HTML5. Además, busca tener bajas tasas de falsos positivos y ser fácil de usar.
Ahora bien, ¿cómo se diferencia de las muchas aplicaciones de evaluación de vulnerabilidades? Según Google, las demás (en su mayoría) se han enfocado en crear escenarios de prueba que luzcan reales "para testers humanos", mientras que para ellos, con la automatización es más productivo enumerar exhaustivamente los contextos y vectores de ataque que una aplicación podría exhibir. Entonces, este banco de pruebas no emula una aplicación real, ni ejecuta las funcionalidades de un escáner; es una colección de patrones únicos de bugs, que han sido vistos in-the-wild, pensado para verificar las capacidades de detección de las herramientas de seguridad.
Firing Range se suma al proyecto anterior de Google, Nogotofail, implementado recientemente para cualquier dispositivo que se conecte a Internet (sea Android, iOS, Linux, Windows, Chrome OS, OS X). Se trata de una herramienta para confirmar que los dispositivos o aplicaciones están seguros contra vulnerabilidades o errores de configuración conocidos en los protocolos TLS y SSL.