Ho appena assistito ad una breve sessione interna sui servizi di consulenza sulla sicurezza applicativa offerti dal team ACE (di cui vi ho detto in questo post). L'intento di questi servizi è semplice: fornire al cliente la stessa competenza, gli stessi tool e la stessa tecnologia utilizzata internamente in Microsoft per la revisione della nostra sicurezza applicativa. E' stata l'occasione per conoscere Mark Curphey, da poco assunto in Microsoft per guidare la parte europea di questi servizi, un collega davvero brillante e che ci arricchisce con una incredibile esperienza nell'ambito della sicurezza (date un occhio al suo curriculum e al suo blog). Tra i diversi tool che ha velocemente illustrato, ha segnalato che ieri Microsoft ha reso disponibile al pubblico la versione beta del tool XSSDetect, risultato di diversi anni di ricerca e di utilizzo interno per l'individuazione dei bug di tipo XSS (Cross Site Scripting). L'argomento è sicuramente uno dei più interessanti per chi si occupa di security code review per le applicazioni web (il nostro gruppo operativo di sicurezza ha ricevuto una richiesta sull'esistenza di un tool simile, giusto meno di una settimana fa ...) e ho quindi pensato che fosse utile segnalarvelo: se il tema vi interessa non mancate di seguire anche gli approfondimenti che vengono realizzati sul blog ex-hacker @ Microsoft.