Новий інструмент корпорації Google виявляє більшість XSS-вразливостей в додатках.

Сканер безпеки Google працює з додатками, створеними на базі Google App Engine. Система може виявляти більшість XSS-вразливостей і вмісту, що передається по HTTP, якщо сайт працює на HTTPS.
Сканер використовує компонент Compute Engine для формування великих ботнетів. Максимальна частота сканування може скласти 20 запитів в секунду, але загальна їх кількість не буде перевищувати 100 тисяч.
Cloud Security Scanner використовує багатоетапний конвеєр для обробки вразливостей в реальних і емульованих браузерах. При цьому сканер не здатний виявити деякі специфічні помилки безпеки.
В першу чергу інструмент націлений на виявлення проблем, з якими найчастіше стикаються розробники при створенні Java-додатків.
Сканер створювався, головним чином, для звичайних розробників, а не для експертів в області безпеки - його значно простіше налаштувати. Крім того, творці інструменту обіцяють дуже низький рівень помилкових спрацьовувань.
Користувачі можуть запустити сканер, зайшовши в меню Compute > App Engine > Security в Консолі для розробників Google. Зазначимо, що Cloud Security Scanner не працює з іншими компонентами, наприклад, App Engine Managed VM або Google Compute Engine.
Раніше аналітики шведської компанії Detectify звернули увагу на досить поширену, але часто недооцениваемую загрозу кібербезпеки - забуті піддомени.