Cloud

Google presenta una herramienta para detectar vulnerabilidades en aplicaciones de App Engine

security-265130_1280
Escrito por Elías Notario

Google acaba de lanzar Cloud Security Scanner, un escáner de vulnerabilidades para aplicaciones web que se ejecuten sobre App Engine.

A Google el tema de la seguridad le preocupa. Es normal, porque las aplicaciones web cada vez son más complejas y por lo tanto más vulnerables, lo que a su vez ha llevado a que día sí y día también asistamos a casos de violaciones de información y similares. Es por ello que ahora la compañía ha implementando una nueva herramienta de seguridad llamada Google Cloud Security Scanner en App Engine, su “plataforma como un servicio” para la creación y ejecución de aplicaciones en la infraestructura cloud de la compañía.

Entrando al meollo de la cuestión, y como su nombre ya deja entrever, Google Cloud Security Scanner no es otra cosa que un escáner de vulnerabilidades para aplicaciones que se ejecuten sobre App Engine. “Mmm, pero si ya hay unos cuantos”, estará pensando alguno, y es cierto, sin embargo este tiene alguna peculiaridad que otra sobre el resto.

La primera de ellas es que, con el objetivo de simplificarle la vida a los desarrolladores, ponerlo a funcionar y realizar los escaneos resulta muy simple (casi no hay que configurar nada y todo se hace vía interfaz gráfica), y la segunda que trabaja de forma que reduce drásticamente el número de información que devuelve (falsos positivos y demás), con lo que los desarrolladores se ahorran tiempo al no tener que andar filtrando e interpretando informes kilométricos.

En cuanto a las otras dos cuestiones vitales cuando hablamos de este tipo de herramientas, cómo funciona y qué vulnerabilidades puede descubrir, tenemos que se centra en detectar dos de las más habituales, XSS y contenido mixto, y de forma resumida trabaja así:

  • Una pequeña red de bots montada en Compute Engine se ocupa de realizar la exploraciones a los sitios/aplicaciones
  • Concretamente hacen dos, una primera “de bajo nivel” en la que revisan el HTML básico de la aplicación (lo que ven los usuarios vamos), y otra con la que se analiza el resto de código (JavaScript, PHP etc)
  • Listo, finalizados los dos escáners, la herramienta simulará ataques contra todas las partes potencialmente vulnerables de la aplicación y reportará todos los bugs que encuentre

En resumen, hablamos de un escáner de vulnerabilidades simple a la par que eficaz, que además es gratis. Eso sí, hay que tener presente que obtener un “informe limpio” no significa necesariamente que la aplicación web analizada sea segura, por lo que Google recomienda continuar realizando revisiones manuales de seguridad por profesionales, y que el ejecutar la herramienta puede causar problemas así que es vital tener presente cierta consideraciones previas.

Sobre el autor de este artículo

Elías Notario

Redactor especializado en tecnología e Internet, ahora por @eldiarioes y @ticbeat. Cofundador de la tienda online de regalos desdegaiaconamor.com