Computerworld News Service: Ratproxy, udgivet under en Apache 2,0 softwarelicens, scanner efter en række kode-problemer i web-applikationer, som for eksempel fejl der kunne muliggøre et 'cross-site scripting angreb', eller fejl der forårsager caching problemer.
"Vi har besluttet at gøre dette værktøj frit tilgængelig som open source, fordi vi mener at det vil være et værdifuldt bidrag til informationssikkerheds-fællesskaber derude, og som en hjælpende hånd til samfundets forståelse af sikkerhedspolitiske udfordringer forbundet med nutidige web-teknologier," skriver Michal Zalewski fra Google i en [url= http://googleonlinesecurity.blogspot.com/2008/07/meet-ratproxy-our-passive-web-security.html]blog[/url].
Ratproxy, på nuværende tidspunkt version 1,51 beta, er hurtig og mindre forstyrrende end andre scannere i og med at den er passiv, og ikke genererer en høj volumen af angrebs-simulerende trafik når den kører. Almindelige aktive scannere kan forårsage problemer med systemets ydeevne, skriver Zalewski i sin blog.
Værktøjet opsnapper indhold og kan udvælge udpluk af JavaScript fra 'style sheets'. Ratproxy støtter, blandt andet, også SSL (Secure Socket Layer) scanning.
Professionel fortolkning
Eftersom scanneren kører i passiv tilstand, udpeger Ratproxy også områder, der ikke nødvendigvis er de faktiske sikkerhedshuller. Oplysninger, der er indsamlet under en test-session, bør derfor fortolkes af en professionel, med en god forståelse for de mest almindelige problemer og symptomer, samt de mest benyttede sikkerhedsmodeller i nutidens web-applikationer, skriver Zalewski.
Google har frigjort en [url= http://code.google.com/p/ratproxy/wiki/RatproxyDoc] beskrivelse[/url] af Ratproxy, samt et [url= http://code.google.com/p/ratproxy/downloads/list]download-link[/url] til kildekoden. Kode licenseret under Apache 2.0 licensen kan indbygges i værker med kommerciel karakter, men oprindelsen af koden skal anerkendes.
Svag web-sikkerhed piner stadigvæk mange virksomheder, og er en potentiel kilde til tab af kunder eller finansielle data.
En undersøgelse foretaget i 2006 af 'Web Application Security Consortium', konstaterede at 85,57 procent af 31.373 sites, er sårbare over for 'cross-site scripting angreb'. 26,38 procent var sårbare over for 'SQL-injektion', og 15,70 procent indeholdt andre fejl der kunne føre til tab af data.
Som et resultat, har virksomhederne forsøgt at udfylde behovet for bedre værktøjer ved at erhverve mindre, specialiserede virksomheder på området.
I juni 2007 opkøbte IBM for eksempel Watchfire. Et firma der fokuserer på at scanne efter web-applikationers sårbarheder, samt databeskyttelse. To uger senere udtalte Hewlett-Packard at selskabet ville opkøbe SPI Dynamics, en rival til Watchfire hvis software også scanner efter sårbarheder i web-applikationer.
Oversat af Jimmie Gustafsson
