Google отдает бесплатный сканер безопасности веб-приложений

Google бесплатно выпустила один из своих внутренних инструментов, используемых для тестирования безопасности веб-приложений.

Ratproxy, выпущенный под лицензией на программное обеспечение Apache 2.0, ищет множество проблем с кодированием в веб-приложениях, например, ошибки, которые могут позволить атаку сценариев межсайтового сценария или вызвать проблемы с кешированием.

«Мы решили сделать этот инструмент доступным как открытый, потому что считаем, что он станет ценным вкладом в сообщество информационной безопасности, понимание сообщества проблемами безопасности, связанными с современными веб-технологиями », - написал Michal Zalewski из Google в блоге безопасности компании.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Ratproxy - выпущен как версия 1.51 beta - быстрая и менее навязчивая, чем другие сканеры, в том, что она пассивна и не генерирует большой объем трафика, имитирующего атаки при запуске, пишет Залевски. Активные сканеры могут вызывать проблемы с производительностью приложения.

Инструмент обнюхивает контент и может выделять фрагменты JavaScript из таблиц стилей. Он также поддерживает сканирование SSL (Secure Socket Layer) среди других функций.

Поскольку он работает в пассивном режиме, Ratproxy выделяет области, вызывающие озабоченность, которые «не обязательно указывают на фактические недостатки безопасности. Информация, собранная во время тестового сеанса, должна затем интерпретируется профессионалом безопасности с хорошим пониманием общих проблем и моделей безопасности, используемых в веб-приложениях », - писал Залевский.

Google опубликовал обзор Ratproxy, а также ссылку для загрузки на исходный код. Код, лицензированный в соответствии с лицензией Apache 2.0, может быть включен в производные работы, в том числе коммерческие, но источник кода должен быть подтвержден.

Слабая безопасность веб-приложений продолжает смущать компании, что может привести к потере клиентских или финансовых данных.

Исследование, проведенное консорциумом по безопасности веб-приложений за 2006 год, показало, что 85,57% из 31 373 сайтов были уязвимы для межсайтовых сценариев, 26,38% были уязвимы для SQL-инъекций, а 15,70% имели другие недостатки, которые могут привести к потере данных.

В результате продавцы безопасности перешли на то, чтобы заполнить потребность в улучшенных инструментах безопасности, а крупные технологические компании приобретают более мелкие специализированные компании в этой области.

В июне 2007 года IBM купила Watchfire, компанию, которая сосредоточилась на уязвимости веб-приложений сканирования, защиты данных и аудита соответствия. Две недели спустя Hewlett-Packard заявила, что будет покупать SPI Dynamics, конкурента Watchfire, программное обеспечение которого также ищет уязвимости в веб-приложениях, а также выполняет проверки соответствия.