Google宣布将它的一款内部安全工具“ ratproxy ”开放源代码。Ratproxy 用于被动地审核 Web 应用的安全性:
Ratproxy 可以分析很多问题,比如存在威胁的跨站脚本包含、对伪造的跨站请求防范不足、缓存问题,潜在的 XSS、可能不安全的跨站代码包含策略、信息泄露,不一而足。
作为一款被动工具,Ratproxy 会监视浏览器与 Web 应用之间的交互。其文档中宣称,这样的工作方式使它比传统方法具备以下优势:
- 不会破坏现有 Web 应用
- 低投入,高产出
- 可以保留用户与 Web 应用交互的控制流
- 在脚本行为中的 WYSIWYG(所见即所得)数据
- 简化了过程整合
与其他安全审核工具相比(如 WebScarab 、 Paros 、 Burp 、 ProxMon 和 Pantera ),Ratproxy 的创建者 Michal Zalewski 说:
Ratproxy 明确地关注当代Web 2.0应用中优先级最高的问题,为它们提供简明的报告,给予用户充分的自由,以可重复的方式来完成这些工作。用户不会再被大量原始的 HTTP 流量数据淹没,而且这个工具远不仅仅是一个人工干预应用程序的框架。
Ratproxy (1.50 beta) (164 Kb)可用于 Linux、FreeBSD、MacOS X 和 Windows(Cygwin)环境。
查看英文原文: Google Releases Open Source Web Application Security Assessment Tool
评论