Google, Ücretsiz Web Uygulaması Güvenlik Tarayıcısını Kullanıyor

Google, Web tabanlı uygulamaların güvenliğini test etmek için kullanılan dahili araçlardan birini ücretsiz olarak kullanıma sunmuştur.

Bir Apache 2.0 yazılım lisansı altında yayınlanan Ratproxy, Web uygulamalarında çeşitli kodlama problemleri arar. siteler arası komut dosyası yazma saldırısına neden olabilecek veya önbelleğe alma sorunlarına neden olabilecek hatalar gibi.

"Bu aracı açık kaynak olarak serbestçe kullanıma sunmaya karar verdik çünkü bilgi güvenliği topluluğuna değerli bir katkı olacağını düşünüyoruz ve Topluluğun çağdaş web teknolojileriyle ilgili güvenlik zorluklarını anlaması, "Google'ın Michal Zalewski'yi bir şirket güvenlik günlüğüne yazdı.

[Daha fazla bilgi: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Ratproxy Zalewski, sürüm 1.51 beta olarak piyasaya sürüldü - diğer tarayıcılara göre daha hızlı ve daha az müdahaleci oluyor. Zalewski, koşarken pasif ve yüksek hacimli saldırı simüle edici bir trafik oluşturmuyor. Aktif tarayıcılar uygulama performansında sorunlara neden olabilir.

Araç, içeriği kokluyor ve stil sayfalarından JavaScript snippet'leri seçebiliyor. Ayrıca, diğer özelliklerin yanı sıra SSL (Güvenli Yuva Katmanı) taramasını da destekler.

Pasif modda çalıştığı için, Ratproxy endişe duyulan alanları vurgulamaktadır: "gerçek güvenlik kusurlarının göstergesi olmayabilir. Test oturumu sırasında toplanan bilgiler. daha sonra, web uygulamalarında kullanılan ortak problemler ve güvenlik modelleri hakkında iyi bir anlayışa sahip bir güvenlik uzmanı tarafından yorumlanmalıdır, "Zalewski, yazdı.

Google, Ratproxy'nin bir özetini ve kaynak koduna bir indirme bağlantısı yayınladı. Apache 2.0 lisansı ile lisanslanan kodlar ticari olanlar da dahil olmak üzere türev çalışmalara dahil edilebilir, ancak kodun kökeni onaylanmalıdır.

Zayıf web uygulaması güvenliği, potansiyel olarak müşteri veya finansal verilerin kaybına neden olan şirketleri utandırmaya devam ediyor.

Web Uygulaması Güvenlik Konsorsiyumu tarafından yapılan 2006 araştırmasında, 31.373 sitenin yüzde 85,57'sinin siteler arası komut dosyası saldırılarına karşı savunmasız olduğu, yüzde 26.38'inin SQL enjeksiyonuna karşı savunmasız olduğu ve yüzde 15,70'inin veri kaybına neden olabilecek başka hataları olduğu bulunmuştur.

Sonuç olarak, güvenlik sağlayıcıları daha büyük güvenlik araçları ihtiyacını karşılamak için harekete geçti. Büyük teknoloji şirketleri bu alanda daha küçük ve uzmanlaşmış şirketler aldı.

IBM Haziran ayında, Web uygulaması güvenlik açığı odaklı bir şirket olan Watchfire'ı satın aldı. tarama, veri koruma ve uygunluk denetimi. İki hafta sonra Hewlett-Packard, yazılımlarının ayrıca Web uygulamalarındaki güvenlik açıklarını araştırdığı ve uyumluluk denetimlerini gerçekleştirdiği bir Watchfire rakibi olan SPI Dynamics'i satın alacağını söyledi.