Михаил Залевский (Michal Zalewski) объявил об открытии под лицензией Apache 2.0 исходных текстов Ratproxy, средства для пассивной проверки безопасности web-приложений, используемого внутри Google.

В отличии от активных сканеров безопасности, осуществляющих проверку через симулирование атаки, ratproxy реализован в виде прокси-сервера, пассивно пропускающего через себя трафик и выявляющего активность представляющую угрозу безопасности пользователя. Например, определяется обращение к страницам, зараженным различными троянскими вставками (JavaScript блоками заражающими машины через уязвимости в web-браузерах), попытки выполнения межсайтового скриптинга (XSS), XSRF и другие виды атак. Ratproxy поддерживает анализ SSL трафика, декомпиляцию Flash ActionScript на лету, сборку разбитых на куски Javascript блоков, генерацию наглядных отчетов в HTML формате.

Исследование Консорциума безопасности web-приложений (Web Application Security Consortium) показало, что из выборки в 31373 сайтов, 85.57% содержали возможность межсайтового скриптинга, 26.38% позволяли осуществить внедрение кода в SQL запросы и 15.70% имели проблемы, которые могли привести к утечке инфорамции.

Написать первый комментарий

Добавление комментария
Пожалуйста, придерживайтесь темы статьи. Личная переписка и оскорбления будут удалены. Не используйте комментарии для раскрутки своего сайта. Такой материал будет удаляться. Перед нажатием на кнопку 'Отправить' обновите страницу, чтобы получить новый код безопасности. Учтите, что предыдущий пункт имеет значение только в том случае, если был введён неверный код безопасности.
Имя:
E-mail
Домашняя страница
Тема:
BBCode:
Комментарий:
Код:*
	I wish being prevented by email of the comments which will follow