Pada hari kamis yang lalu salah satu produk raksasa mesin pencari Google, yaitu Google Cloud secara resmi luncurkan sebuah Tool untuk memindai kerentanan pada aplikasi web. Google Cloud Security Scanner.
Meski masih dalam versi Beta, tool berbasis Cloud ini diharapkan mampu memindai kerentanan terhadap suatu aplikasi web milik para pengembang secara berkala. tool ini juga difokuskan mampu memindai kerentanan yang sering terjadi pada aplikasi web, yaitu Cross-Site Scripting (XSS) dan Mixed Content Scripts.
Meskipun saat ini sudah banyak tool tool lain untuk memindai kerentanan web di pasaran. dari pihak google sendiri menyatakan tool miliknya ini cocok digunakan bagi para pengembang yang menggunakan Google App Engine Developers. seperti yang dikatakan oleh Security Engineering Manager google, Rob Mann di salah satu Posting Blognya.
"Tool Web Scanner untuk keamanan memang sudah ada sejak bertahun tahun yang lalu. namun tool tersebut tidak cocok (untuk aplikasi web ) di Google App Engine Developer. tool web scanner yang lain seringkali sulit mengaturnya, sering terjadi masalah laporan scan palsu, dan juga aplikasi tersebut hanya ditunjukan bagi (mereka yang bekerja di) keamanan Profesional dan bukan untuk pengembang Aplikasi Web. "tulisnya.
tool scanner ini sendiri dirancang untuk 3 tujuan, yaitu:
1. Sebuah tool scanner yang mudah dibuat dan digunakan.
2. Mampu mendeteksi kerentanan yang paling sering muncul di aplikasi web, dan meminimalkan laporan scan palsu.
3. Dukungan tool yang kayak fitur, aplikasi web javascript rumit.
untuk menggunakannya cukup pilih menu Compute > App Engine > Security scans di Google Developer Console. dan cukup klik "Create Scan" untuk memulai pemindaian.
lihat gambar
Cara kerja Google Cloud Security Scanner.
Rob Mann memaparkan bahwa umumnya HTML5 dan Javascript adalah bagian yang paling menantang untuk dijelajahi dan di lakukan pengujian. Oleh karena itu tool scanner milik google ini melakukan sebuah pendekatan baru melalui parsing kode dan menjelajahi semua bagian dari aplikasi web yang sedang di uji.
Uniknya ketika anda sedang mencoba tool ini, anda akan di kagetkan oleh ratusan botnet milik google. yang bertugas untuk menyerang dan memindai aplikasi web anda. dan tujuan penyerangan ini adalah untuk pengujian aplikasi web dari kerentanan XSS. namun menurut Rob Mann pengguna tidak perlu khawatir karena dalam penyerangan ini menggunakan payload yang aman dan sudah diatur oleh Chrome DevTools untuk menjalankan Debugger.
Namun Rob Mann mengingatkan bahwa ketika anda menggunakan tool ini tidak menjamin bahwa aplikasi web anda menjadi terbebas dari bug. ia juga masih merekomendasikan tool scanner lainnya untuk mencoba kemungkinan ditemukan bug lainnya.
jadi apakah anda juga tertarik untuk mencobanya ? :D
