Google ger bort gratis webbsäkerhetsskanner

Google har gratis släppt ett av sina interna verktyg som används för att testa säkerheten för webbaserade applikationer.

Ratproxy, släppt under en Apache 2.0-programlicens, söker efter en mängd olika kodproblem i webbapplikationer, till exempel fel som kan möjliggöra en övergripande scripting attack eller orsaka problem med caching. "

" Vi bestämde oss för att göra det här verktyget fritt tillgängligt som öppen källkod, eftersom vi anser att det kommer att vara ett värdefullt bidrag till informationssäkerhetssamfundet, samhällets förståelse för säkerhetsutmaningar i samband med modern webbteknologi, "skrev Googles Michal Zalewski på en företagsäkerhetsblogga.

[Läs vidare: Så här tar du bort skadlig kod från din Windows-dator]

Ratproxy - släppt som version 1.51 beta - är snabb och mindre påträngande än andra skannrar eftersom den är passiv och genererar inte en hög volym attack-simulerande trafik när den körs, skrev Zalewski. Aktiva skannrar kan orsaka problem med programmets prestanda.

Verktyget sniffar innehållet och kan hämta ut JavaScript-utdrag från stilark. Den stöder också SSL (Secure Socket Layer) -skanning, bland andra funktioner.

Eftersom det körs i ett passivt läge belyser Ratproxy problemområden som "inte nödvändigtvis indikerar de faktiska säkerhetsbristerna. Den information som samlats in under en testperiod bör tolkas sedan av en säkerhetsprofessor med en god förståelse för de vanliga problemen och säkerhetsmodellerna som används i webbapplikationer, "skrev Zalewski.

Google har lagt upp en översikt över Ratproxy samt en länk till källkoden. Kod som är licensierad enligt Apache 2.0-licensen kan inkorporeras i derivatverk, inklusive kommersiella, men kodens ursprung måste erkännas.

Svag webbapplikationssäkerhet fortsätter att skämma bort företag, vilket kan leda till förlust av kund- eller finansiella data.

En undersökning från Web Application Security Consortium 2006 visade att 85,57 procent av 31 373 webbplatser var sårbara för skriptattacker på plats, 26,38 procent var sårbara för SQL-injektion och 15,70 procent hade andra fel som kunde leda till dataförlust.

Som ett resultat har säkerhetsleverantörerna flyttat för att fylla behovet av bättre säkerhetsverktyg, med stora teknikföretag som förvärvar mindre specialiserade företag inom området.

IBM köpte Watchfire, ett företag som fokuserade på sårbarhet för webbprogram skanning, dataskydd och efterlevnadskontroll. Två veckor senare sa Hewlett-Packard att det skulle köpa SPI Dynamics, en konkurrent av Watchfire, vars programvara också letar efter sårbarheter i webbapplikationer samt att utföra överensstämmelsesrevisioner.