Google geeft gratis webtoepassingsbeveiligingsscanner weg

Google heeft gratis een van zijn interne hulpprogramma's vrijgegeven die worden gebruikt voor het testen van de beveiliging van webgebaseerde toepassingen.

Ratproxy, uitgegeven onder een Apache 2.0-softwarelicentie, zoekt naar verschillende coderingsproblemen in webtoepassingen, zoals fouten die een cross-site scripting-aanval kunnen veroorzaken of cacheproblemen kunnen veroorzaken.

"We hebben besloten om deze tool vrij beschikbaar te maken als open source, omdat we van mening zijn dat het een waardevolle bijdrage zal zijn aan de informatiebeveiligingsgemeenschap, waardoor we vooruit kunnen helpen de kennis van de gemeenschap over beveiligingsuitdagingen in verband met moderne webtechnologieën, "schreef Michal Zalewski van Google op een bedrijfsbeveiliging blog.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Ratproxy - uitgebracht als versie 1.51 beta - is snel en minder opdringerig dan andere scanners in die zin dat het passief is en niet een hoog volume aan aanval simulerend verkeer genereert tijdens het hardlopen, schreef Zalewski. Actieve scanners kunnen problemen met de prestaties van de toepassing veroorzaken.

De tool snuift de inhoud en kan fragmenten van JavaScript uit stylesheets kiezen. Het ondersteunt ook SSL (Secure Socket Layer) -scannen, naast andere functies.

Omdat het in een passieve modus draait, markeert Ratproxy zorgpunten die "niet noodzakelijkerwijs wijzen op feitelijke beveiligingsfouten." De informatie die tijdens een testsessie wordt verzameld, moet wordt dan geïnterpreteerd door een beveiligingsprofessional met een goed begrip van de veelvoorkomende problemen en beveiligingsmodellen die worden gebruikt in webapplicaties, "schreef Zalewski.

Google heeft een overzicht van Ratproxy en een downloadlink naar de broncode geplaatst. Code die is gelicentieerd onder de Apache 2.0-licentie kan worden opgenomen in afgeleide werken, inclusief commerciële, maar de oorsprong van de code moet worden erkend.

Zwakke webtoepassingsbeveiliging blijft bedrijven in verlegenheid brengen, waardoor mogelijk verlies van klant- of financiële gegevens wordt veroorzaakt.

Een onderzoek van 2006 door het Consortium van de Beveiliging van Webtoepassingen vond dat 85,57 procent van 31.373 sites kwetsbaar waren voor cross-site scripting-aanvallen, 26,38 procent kwetsbaar voor SQL-injectie en 15,70 procent andere fouten had die tot gegevensverlies konden leiden.

Als gevolg hiervan zijn beveiligingsleveranciers overgestapt om de behoefte aan betere beveiligingstools te vullen, waarbij grote technologiebedrijven kleinere, gespecialiseerde bedrijven in het veld overnemen. In juni 2007 kocht IBM Watchfire, een bedrijf dat zich richtte op kwetsbaarheid voor webtoepassingen scannen, gegevensbescherming en nalevingsgerichte audits. Twee weken later zei Hewlett-Packard dat het SPI Dynamics zou kopen, een rivaal van Watchfire wiens software ook op zoek is naar kwetsbaarheden in webapplicaties en nalevingscontroles uitvoert.