Google開發安全工具 自動查找web軟件缺陷

據國外媒體報道，代號為Lemon的這一工具通過提供隨機的數據輸入以觸發和曝露web應用軟件中的缺陷。Lemon是一款黑盒測試工具。據Google安全團隊成員Srinath Anantharaju稱，Lemon的開發旨在發現跨站點腳本缺陷，但Google正在增添發現新攻擊途徑的方法，以提高這款工具發現其它已知安全問題的能力。

Anantharaju在Google網絡安全博客中寫道，我們的缺陷測試工具列舉一款web應用軟件的URL和相應的輸入參數，它然后反復地提供有缺陷的輸入，以發現跨站點腳本缺陷和其它缺陷，對結果進行分析，尋找存在這些缺陷的證據。

黑客通常通過在web應用軟件中注入代碼觸發跨站點腳本攻擊。黑客也可以向用戶發送帶有惡意鏈接的電子郵件，當用戶點擊這一鏈接時，系統就會加載一個網頁，黑客可以在網頁中注入可以在瀏覽器對話中執行的腳本代碼。

Google計劃用這款工具測試它自己的web應用軟件，但不會在近期內發布這款工具。

文章來源于領測軟件測試網 http://www.kjueaiud.com/