国外媒体报道，Google正在开发一款能够自动地发现其web应用软件中跨站点脚本缺陷的安全工具。

　　据国外媒体报道，代号为Lemon的这一工具通过提供随机的数据输入以触发和曝露web应用软件中的缺陷。Lemon是一款黑盒测试工具。据Google安全团队成员Srinath Anantharaju称，Lemon的开发旨在发现跨站点脚本缺陷，但Google正在增添发现新攻击途径的方法，以提高这款工具发现其它已知安全问题的能力。

　　Anantharaju在Google网络安全博客中写道，我们的缺陷测试工具列举一款web应用软件的URL和相应的输入参数，它然后反复地提供有缺陷的输入，以发现跨站点脚本缺陷和其它缺陷，对结果进行分析，寻找存在这些缺陷的证据。

　　黑客通常通过在web应用软件中注入代码触发跨站点脚本攻击。黑客也可以向用户发送带有恶意链接的电子邮件，当用户点击这一链接时，系统就会加载一个网页，黑客可以在网页中注入可以在浏览器对话中执行的脚本代码。

　　Google计划用这款工具测试它自己的web应用软件，但不会在近期内发布这款工具。

下一篇：Java曝漏洞 应立即打补丁防被黑客利用

　　Sun Java运行时环境中存在一个漏洞。Sun发言人说，已经打上了这一漏洞补丁，目前没有发现利用这一漏洞做坏事的事情发生。Sun周五发布了新版Java SE 6 Update 2，以解决漏洞的问题。澳洲CERT周四公布报告称，Sun的Java运行时环境中存在一个漏洞，在6月4日的这家公司的报告中，也称此环境中还存在另外两个漏洞，但当时这家公司给出了Sun的补丁链接。

　　Google安全专家Chris Evans在去年10月就报告说，Java运行时环境中存在漏洞，他向Sun报告了这些漏洞，并在今年5月15日进行了公布。

　　Evans发现的一个漏洞是JPEG图...[查看详情]