Google、XSSの脆弱性診断ツールを開発

Googleのファズテストツール「Lemon」では、Webアプリケーションのクロスサイトスクリプティング（XSS）の脆弱性を発見できる。

[ITmedia]

　米Googleは、Webアプリケーションのクロスサイトスクリプティング（XSS）の脆弱性を見つけ出すファズテストツール「Lemon」を社内で開発した。同社セキュリティブログで明らかにした。

　XSSの脆弱性は、悪用されると不正スクリプトを挿入される恐れがあり、実際にこの問題を突いたWebアプリケーション攻撃も多発している。

　Lemonとは、英語で欠陥製品を意味する言葉でもある。GoogleのLemonはブラックボックス・ファズテストを自動で実行するツールで、WebアプリケーションのURLとそれぞれに対応する入力パラメータを列挙して、各パラメータに不正コードを反復供給することで、アプリケーションの脆弱性を誘発／露呈させる。

　同ツールは最初実験的にスタートしたが、XSS問題の発見に効果があることが分かったとGoogleは説明。また、XSSのほかにも、cookieポイズニングやエンコード、文字コードなどに関連した問題も発見できるという。

　同社は新しい攻撃手法への対応を追加しながら、ツールの改良に努めているという。ただし、LemonはGoogleアプリ向けにカスタマイズしたツールであり、当面は市販製品としてリリースするつもりはないとしている。