Хакер #305. Многошаговые SQL-инъекции
Google разрабатывает автоматическую утилиту для поиска стандартных ошибок в веб-приложениях.
Программа, названная Lemon, пока находится в стадии разработки, но уже используется для внутренних тестов в компании. Пока ее используют для поиска XSS уязвимостей и ряда других проблем, в дальнейшем, вероятно, добавят функционал для поиска SQL-инъекций. "Несмотря на то что Lemon экспериментальный инструмент, он достаточно эффективен для поиска проблем с межсайтовым скриптингом. Кроме того, он обнаруживает и другие уязвимости - response-splitting-атаки, проблемы с отравлением куки, ошибки в кодировке и т.п. Так как он сделан нами, его легко интегрировать в автоматические тесты и расширять по нашим потребностям, чем
мы непрерывно и занимаемся", - говорит инженер Google.
В настоящее время неизвестно, выпустит ли Google свой инструмент для широкого использования и составит ли он конкуренцию существующим сканерам уязвимостей - таким как, например, бесплатный Nessus или платные версии от eEye и Foundstone.