Сканер проводит так называемое fuzz-тестирование — автоматически отправляет специальные «вредоносные» строки сценариям веб-приложений с целью обнаружения уязвимостей. В настоящее время готова разработка, проверяющая сценарии на уязвимость к атакам межсайтового выполнения сценариев (CSS/XSS).

Команда специалистов безопасности Google разрабатывает сканер уязвимостей с открытым кодом под названием Lemon и по мере разработки использует его для тестирования своих продуктов. Выпуск на рынок в ближайшем будущем не планируется.

Разработчики намерены включить в Lemon функции сканирования на разнообразные виды уязвимостей, включая межпользовательский дефейс (временная подмена содержимого страницы, отображаемой посетителю, для кражи реквизитов), заражение веб-кэша, заражение куки (модификация куки для обхода аутентификации), утечки трассировки стека, а также уязвимости, связанные с кодировкой текста.

Fuzz-инструменты имеют двойное назначение: специалисты ИТ-безопасности компаний могут сканировать свои корпоративные приложения, а хакеры — произвольные сайты. Однако Google не планирует выводить продукт на рынок, по крайней мере, в ближайшем будущем, поскольку он будет «точно настроен на приложения Google».