Уязвимости в межсайтовом скриптинге – одни из самых простых уязвимостей для
обнаружения и исправления, но и одни из самых распространенных. Veracode сегодня
предпринимают меры по ликвидации данной ошибки - запускают
бесплатную услугу,
которая сканирует Java-приложения на наличие XSS.
Новая, основанная на "облаке" услуга Veracode Free XSS Detection Service,
предлагает пользователям провести одно сканирование Java-приложения на наличие
XSS, и сервис доступен для любого пользователя в течение 30 дней при условии,
что он зарегистрируется. "Мы хотим искоренить XSS. Это – высокая цель, но мы
чувствуем, что пришло время отнестись к этой проблеме более серьёзно", - говорит
Сэм Кинг, вице-президент по маркетингу в Veracode.
Межсайтовый скриптинг долгое время возглавлял списки наиболее часто
обнаруживаемых недостатков в приложениях. Согласно последнему докладу Veracode
State of Software Security Report, XSS был ошибкой номер один для всех
приложений: он являлся причиной 51 процента уязвимостей, найденных Veracode.
"Этого не должно быть", - говорит Кинг. "Большинство случаев, связанных с
межсайтовым скриптингом, сравнительно легко найти и исправить".
И Кинг говорит, что бесплатное сканирование на наличие XSS – это только
начало: Veracode хотят запустить похожий сервис по обнаружению SQ-инъекций,
еще одной часто встречающейся ошибки в приложениях, а также сервисы по
обнаружению других уязвимостей. Veracode в первую очередь занялись
Java-приложениями, потому что Java изначально является самой распространенной
платформой разработки среди их клиентов, пользующихся сканированиями системы
безопасности, предложенными их компанией.
Бесплатная услуга предоставляет подробный отчет об ошибках XSS, а также
инструкции, как исправить эти ошибки и бесплатный доступ к курсам обучения в
Интернете компании Veracode. "Это одноразовая услуга; вы можете загрузить одно
приложение, а мы предоставим вам результаты сканирования", - говорит Фёргал
Глинн, старший менеджер по продуктам Veracode.
Хотя бесплатная услуга также привлечет к Veracode новых клиентов, это также
большой шаг на пути к лучшей осведомленности разработчиков о XSS, особенно
разработчиков из маленьких организаций. "Я думаю, что результат будет хорошим",
- говорит Ченхи Ванг, вице-президент и главный аналитик Forrester Research,
которая первой выступила с идеей свободного сканирования на наличие XSS.
Ванг думает, что шаг, сделанный Veracode, должен стимулировать других
производителей систем безопасности предоставлять бесплатные услуги по
сканированию на XSS. Устранение большинства ошибок XSS в приложениях станет
большим шагом к большей безопасности веб-приложений. "Если что-то и должно быть
сделано в сфере безопасности программного обеспечения, то должно быть сделано
именно это",- говорит она.
Эта услуга сканирования на уязвимости – не первая в своем роде: WhiteHat
Security уже предоставляли похожую услугу в прошлом. Но такие предложения обычно
не привлекают много новых постоянных клиентов к фирме, отмечает Иеремия Гроссман,
основатель и технический директор компании WhiteHat Security. Гроссман говорит,
что это может происходить из-за того, что те, кто относится серьезно к
безопасности их приложений, скорее всего регистрируются как вносящие плату
клиенты. "Но может быть наш опыт был исключением и бесплатная услуга Veracode
действительно привлечет больше клиентов", - говорит он.
Удастся ли пользователям исправить ошибки XSS, которые обнаружит для них
бесплатный сервис Veracode – неясно. Veracode засекает десятки тысяч уязвимостей
XSS за неделю, согласно данным компании, но в то время как некоторые клиенты
исправляют их и затем загружают новую сборку, другие даже не пытаются исправить
ошибки.
Ванг говорит, что сканирование, предоставленное Veracode, будет, скорее
всего, использоваться разработчиками, которые будут таким образом исправлять
ошибки XSS. "Сервис не поможет людям, которые на хотят избавиться от
уязвимостей", - говорит она.
