Google 发布开源 Web 应用安全审核工具

  • Gavin Terrill
  • 韩锴

2008 年 7 月 8 日

话题:Java.NETRuby安全架构语言 & 开发

Google宣布将它的一款内部安全工具“ratproxy”开放源代码。Ratproxy 用于被动地审核 Web 应用的安全性:

Ratproxy 可以分析很多问题,比如存在威胁的跨站脚本包含、对伪造的跨站请求防范不足、缓存问题,潜在的 XSS、可能不安全的跨站代码包含策略、信息泄露,不一而足。

作为一款被动工具,Ratproxy 会监视浏览器与 Web 应用之间的交互。其文档中宣称,这样的工作方式使它比传统方法具备以下优势:

  • 不会破坏现有 Web 应用
  • 低投入,高产出
  • 可以保留用户与 Web 应用交互的控制流
  • 在脚本行为中的 WYSIWYG(所见即所得)数据
  • 简化了过程整合

与其他安全审核工具相比(如WebScarabParosBurpProxMonPantera),Ratproxy 的创建者Michal Zalewski说:

Ratproxy 明确地关注当代Web 2.0应用中优先级最高的问题,为它们提供简明的报告,给予用户充分的自由,以可重复的方式来完成这些工作。用户不会再被大量原始的 HTTP 流量数据淹没,而且这个工具远不仅仅是一个人工干预应用程序的框架。

Ratproxy (1.50 beta) (164 Kb)可用于 Linux、FreeBSD、MacOS X 和 Windows(Cygwin)环境。

查看英文原文Google Releases Open Source Web Application Security Assessment Tool

Java.NETRuby安全架构语言 & 开发