ニュース
» 2007年07月19日 10時30分 UPDATE

Google、XSSの脆弱性診断ツールを開発

Googleのファズテストツール「Lemon」では、Webアプリケーションのクロスサイトスクリプティング(XSS)の脆弱性を発見できる。

[ITmedia]

 米Googleは、Webアプリケーションのクロスサイトスクリプティング(XSS)の脆弱性を見つけ出すファズテストツール「Lemon」を社内で開発した。同社セキュリティブログで明らかにした。

 XSSの脆弱性は、悪用されると不正スクリプトを挿入される恐れがあり、実際にこの問題を突いたWebアプリケーション攻撃も多発している。

 Lemonとは、英語で欠陥製品を意味する言葉でもある。GoogleのLemonはブラックボックス・ファズテストを自動で実行するツールで、WebアプリケーションのURLとそれぞれに対応する入力パラメータを列挙して、各パラメータに不正コードを反復供給することで、アプリケーションの脆弱性を誘発/露呈させる。

 同ツールは最初実験的にスタートしたが、XSS問題の発見に効果があることが分かったとGoogleは説明。また、XSSのほかにも、cookieポイズニングやエンコード、文字コードなどに関連した問題も発見できるという。

 同社は新しい攻撃手法への対応を追加しながら、ツールの改良に努めているという。ただし、LemonはGoogleアプリ向けにカスタマイズしたツールであり、当面は市販製品としてリリースするつもりはないとしている。

関連キーワード

cookie | Google


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ