Google сегодня опубликовала в свободном доступе исходные коды программного обеспечения Ratproxy, предназначенного для тестирования защищенности веб-приложений. Ранее Ratproxy использовался исключительно для внутренних нужд компании, теперь же он опубликован под программной лицензией Apache 2.0.
Как отметили в Google, Ratproxy может использоваться для поиска проблемных мест в приложениях, сканирования на наличие возможностей XSS-атак или проблем, вызванных серверным окружением. На сегодняшний день система Ratproxy находится в версии 1.51 beta.
Залевски отметил, что основное преимущество Ratproxy перед другими сканерами заключается в том, что он является пассивным и не генерирует траффик, имитируя хакерские атаки. Этот подход не дает излишней нагрузки на серверы и не затрудняет работу установленных приложений. Ratproxy просто изучает коды, выделяет проблемные фрагменты, работает с JavaScript и таблицами стилей. Кроме того, поддерживается SSL-сканирование.
"Поскольку Ratproxy работает в пассивном режиме, он может привлечь внимание разработчиков к участкам кода, которые не обязательно представляют собой проблемы, связанные с безопасностью. Информация, собранная во время тестовых сессий, позже может быть исследована специалистами по безопасности", - говорит Залевски.
На данный момент Google уже разместила на сайте для разработчиков необходимые справочные материалы, а также полные коды программы. Условия лицензии Apache позволяют довольно лояльно относиться к кодам программы и даже встраивать их в коммерческие решения, отмечает CyberSecurity.
Напомним, что согласно данным консорциума Web Application Security Consortium по состоянию на начало 2008 года около 85,57% всех сайтов содержали те или иные уязвимости в программном обеспечении или в конфигурации серверов. Самой распространенной "болезнью" является SQL-инъекции, на их долю приходится 26,36% всех уязвимостей.