Google gir bort gratis websikkerhetsskanner

Google har gratis utgitt et av sine interne verktøy som brukes til å teste sikkerheten til webbaserte applikasjoner.

Ratproxy, utgitt under en Apache 2.0-programvarelisens, ser etter en rekke kodingsproblemer i webapplikasjoner., for eksempel feil som kan tillate et cross-site scripting angrep eller forårsake caching problemer.

"Vi bestemte oss for å gjøre dette verktøyet fritt tilgjengelig som åpen kildekode fordi vi føler at det vil være et verdifullt bidrag til informasjonssikkerhetssamfunnet, samfunnets forståelse av sikkerhetsutfordringer knyttet til moderne webteknologi, "skrev Googles Michal Zalewski på en sikkerhetsblogg for bedriften.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Ratproxy - Utgitt som versjon 1.51 beta - er rask og mindre påtrengende enn andre skannere fordi den er passiv og ikke genererer et høyt volum av angrepssimulerende trafikk når det kjøres, skrev Zalewski. Aktive skannere kan forårsake problemer med applikasjonsytelsen.

Verktøyet sniffer innhold og kan plukke ut utklipp av JavaScript fra stilark. Den støtter også SSL-skanning (Secure Socket Layer), blant andre funksjoner.

Siden det går i en passiv modus, fremhever Ratproxy bekymringsområder som "ikke nødvendigvis er tegn på faktiske sikkerhetsfeil. Informasjonen samlet under en test sesjon bør tolkes da av en sikkerhetsprofessor med god forståelse for de vanlige problemene og sikkerhetsmodellene som er ansatt i webapplikasjoner, "skrev Zalewski.

Google har lagt oversikt over Ratproxy, samt en nedlastingslink til kildekoden. Koden lisensiert under Apache 2.0-lisensen kan innlemmes i avledede verk, inkludert kommersielle, men kodenes opprinnelse må anerkjennes.

Svak webapplikasjonssikkerhet fortsetter å skremme selskaper som potensielt forårsaker tap av kunde- eller økonomiske data.

En 2006-undersøkelse fra Web Application Security Consortium fant at 85,57 prosent av 31.373 nettsteder var utsatt for skriptangrep på tvers av nettsteder, 26,38 prosent var sårbare for SQL-injeksjon og 15,70 prosent hadde andre feil som kunne føre til tap av data.

Som følge av dette har sikkerhetsleverandørene flyttet for å fylle behovet for bedre sikkerhetsverktøy, med store teknologiselskaper som anskaffer mindre spesialiserte bedrifter i feltet.

I juni 2007 kjøpte IBM Watchfire, et selskap som fokuserte på sikkerhetsproblemer for webapplikasjoner skanning, databeskyttelse og revisjonsoverensstemmelse. To uker senere sa Hewlett-Packard at det ville kjøpe SPI Dynamics, en konkurrent med Watchfire, hvis programvare også ser etter sårbarheter i webapplikasjoner, samt å utføre samsvarsrevisjoner.