Google gibt kostenlosen Web Application Security Scanner

Google hat eines seiner internen Tools zum Testen der Sicherheit von webbasierten Anwendungen kostenlos veröffentlicht.

Ratproxy, das unter einer Apache 2.0-Softwarelizenz veröffentlicht wurde, sucht nach einer Reihe von Codeproblemen in Webanwendungen B. Fehler, die einen Cross-Site-Scripting-Angriff oder Caching-Probleme verursachen könnten.

"Wir haben uns entschieden, dieses Tool als Open Source frei verfügbar zu machen, da es unserer Meinung nach einen wertvollen Beitrag für die Informationssicherheit darstellt das Verständnis der Community für Sicherheitsherausforderungen, die mit modernen Webtechnologien verbunden sind ", schrieb Michal Zalewski von Google auf einem Unternehmens-Sicherheitsblog.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Ratproxy - veröffentlicht als Version 1.51 Beta - ist schnell und weniger aufdringlich als andere Scanner, da es passiv ist und keine große Menge an Angriffs-simulierenden Verkehr beim Laufen erzeugt, schrieb Zalewski. Aktive Scanner können zu Problemen bei der Anwendungsleistung führen.

Das Tool ruft Inhalte ab und kann JavaScript-Ausschnitte aus Stylesheets auswählen. Es unterstützt unter anderem auch das SSL (Secure Socket Layer) -Scanverfahren.

Da Ratproxy in einem passiven Modus läuft, weist es auf Bereiche hin, die "nicht unbedingt auf tatsächliche Sicherheitsmängel hinweisen. Die während einer Testsitzung gesammelten Informationen sollten dann von einem Sicherheitsexperten mit einem guten Verständnis der gängigen Probleme und Sicherheitsmodelle in Web-Anwendungen interpretiert werden ", schrieb Zalewski.

Google hat einen Überblick über Ratproxy sowie einen Download-Link zum Quellcode veröffentlicht. Code, der unter der Apache 2.0-Lizenz lizenziert ist, kann in abgeleitete Werke einschließlich kommerzieller enthalten sein, aber die Herkunft des Codes muss bestätigt werden.

Schwache Webanwendungssicherheit führt weiterhin zu Bloßstellungen bei Unternehmen, was möglicherweise den Verlust von Kunden- oder Finanzdaten zur Folge hat.

Eine Umfrage des Web Application Security Consortium aus dem Jahr 2006 ergab, dass 85,57 Prozent von 31.373 Websites anfällig für Cross-Site-Scripting-Angriffe waren, 26,38 Prozent anfällig für SQL-Injection und 15,70 Prozent andere Fehler hatten, die zu Datenverlust führen konnten.

Infolgedessen haben Sicherheitsanbieter den Bedarf nach besseren Sicherheitstools gedeckt, wobei große Technologieunternehmen kleinere, spezialisierte Unternehmen auf diesem Gebiet akquirieren.

Im Juni 2007 kaufte IBM Watchfire, ein Unternehmen, das sich auf Schwachstellen in Webanwendungen konzentrierte Scannen, Datenschutz und Konformitätsprüfung. Zwei Wochen später kündigte Hewlett-Packard an, SPI Dynamics, einen Rivalen von Watchfire, zu kaufen, dessen Software auch nach Schwachstellen in Web-Anwendungen sucht und Compliance-Audits durchführt.