Webベースのアプリケーションのセキュリティをテストするために使用される内部ツールを無料でリリースしました。
Apache 2.0ソフトウェアライセンスでリリースされたRatproxyは、Webアプリケーションにおけるさまざまなコーディングの問題を探します
「このツールをオープンソースとして自由に利用できるようにすることは、情報セキュリティコミュニティにとって貴重な貢献であり、前進を助けるものだと感じているからです現在のウェブ技術に関連するセキュリティ上の課題についてのコミュニティの理解は、企業のセキュリティブログでGoogleのMichal Zalewski氏に書いてある。
[詳しい情報:Windows PCからマルウェアを削除する方法]Ratproxy Zalewski氏は、バージョン1.51ベータ版としてリリースされたのは、パッシブであり、実行時に大量の攻撃をシミュレートするトラフィックを生成しないという点で、他のスキャナーよりも迅速かつ侵入性が低いということです。アクティブなスキャナはアプリケーションのパフォーマンスに問題を引き起こす可能性があります。
ツールはコンテンツをスニッフィングし、スタイルシートからJavaScriptのスニペットを取り出すことができます。
パッシブモードで動作するため、Ratproxyは、「実際のセキュリティ上の欠陥を必ずしも示すものではない」という懸念事項を強調しています。テストセッションで収集された情報は、 Zalewski氏は次のように述べています。「GoogleはRatproxyの概要とソースコードへのダウンロードリンクを掲載しました。 Apache 2.0のライセンスで許諾されたコードは、商用のものを含む派生的な作品に組み込むことができますが、コードの原点を認める必要があります。
弱いWebアプリケーションのセキュリティは、企業や顧客の財産を損なう可能性があります。
Webアプリケーションセキュリティコンソーシアムによる2006年の調査では、31,373サイトの85.57パーセントがクロスサイトスクリプティング攻撃に対して脆弱であり、26.38パーセントがSQLインジェクションに脆弱であり、15.70パーセントがデータ損失につながる可能性のあるその他のフォルトを有していました。 >その結果、セキュリティベンダーは、大規模なテクノロジ企業が小規模で専門分野の企業を買収するなど、より優れたセキュリティツールの必要性を満たす動きに転じました。
2007年6月、IBMはWebアプリケーションの脆弱性に重点を置くWatchfireスキャン、データ保護、コンプライアンス監査が含まれます。 2週間後、Hewlett-PackardはWatchfireのライバルであるSPI Dynamicsを買収し、同社のソフトウェアはWebアプリケーションの脆弱性を探し出し、コンプライアンス監査を実施すると述べた。