Google Gives Away Darmowy skaner bezpieczeństwa aplikacji sieciowych

Google udostępniło bezpłatnie jeden z wewnętrznych narzędzi wykorzystywanych do testowania bezpieczeństwa aplikacji internetowych

Ratproxy, wydany na licencji Apache 2.0, szuka różnych problemów związanych z kodowaniem w aplikacjach internetowych, takie jak błędy, które mogą pozwolić na atak typu cross-site scripting lub powodować problemy z buforowaniem.

"Zdecydowaliśmy się udostępnić to narzędzie jako ogólnodostępne, ponieważ uważamy, że będzie to cenny wkład w bezpieczeństwo informacji, pomagając społeczność rozumie wyzwania bezpieczeństwa związane ze współczesnymi technologiami sieciowymi "- napisał Michał Zalewski na blogu bezpieczeństwa firmy.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Ratproxy - wydana jako wersja 1.51 beta - jest szybka i mniej inwazyjna niż inne skanery, ponieważ jest pasywna i nie generuje dużej ilości ruchu symulującego ataki podczas biegu, napisał Zalewski. Aktywne skanery mogą powodować problemy z wydajnością aplikacji.

Narzędzie wykrywa treść i może wybierać fragmenty kodu JavaScript z arkuszy stylów. Obsługuje również skanowanie SSL (Secure Socket Layer), między innymi funkcje.

Ponieważ działa w trybie pasywnym, Ratproxy zwraca uwagę na obszary zainteresowania, które "niekoniecznie wskazują na faktyczne luki bezpieczeństwa." Informacje zebrane podczas sesji testowej powinny zostać następnie zinterpretowane przez specjalistę od zabezpieczeń, dobrze rozumiejącego typowe problemy i modele zabezpieczeń stosowane w aplikacjach internetowych "- napisał Zalewski.

Google opublikował przegląd Ratproxy, a także link do pobrania do kodu źródłowego. Kod licencjonowany na podstawie licencji Apache 2.0 może zostać włączony do prac pochodnych, w tym komercyjnych, ale pochodzenie kodu musi zostać potwierdzone.

Słabe zabezpieczenia aplikacji internetowych nadal zawstydzają firmy, potencjalnie powodując utratę danych klientów lub danych finansowych.

Ankieta przeprowadzona w 2006 roku przez Web Application Security Consortium wykazała, że ​​85,57 procent z 31 373 stron było podatnych na ataki typu cross-site scripting, 26,38% było podatnych na iniekcję SQL, a 15,70% miało inne błędy, które mogły doprowadzić do utraty danych.

W rezultacie, dostawcy rozwiązań zabezpieczających zaczęli wypełniać zapotrzebowanie na lepsze narzędzia bezpieczeństwa, a duże firmy technologiczne przejmują mniejsze wyspecjalizowane firmy w tej dziedzinie.

W czerwcu 2007 r. IBM kupił firmę Watchfire, która skupiła się na luce w zabezpieczeniach aplikacji internetowych skanowanie, ochrona danych i kontrola zgodności. Dwa tygodnie później Hewlett-Packard powiedział, że kupi SPI Dynamics, rywala Watchfire, którego oprogramowanie również szuka luk w aplikacjach internetowych, a także przeprowadza audyty zgodności.