Google Menghasilkan Scanner Keamanan Aplikasi Web Gratis

Google telah merilis secara gratis salah satu alat internal yang digunakan untuk menguji keamanan aplikasi berbasis Web.

Ratproxy, dirilis di bawah lisensi perangkat lunak Apache 2.0, mencari berbagai masalah pengkodean dalam aplikasi Web, seperti kesalahan yang dapat memungkinkan serangan skrip lintas situs atau menyebabkan masalah cache.

"Kami memutuskan untuk menjadikan alat ini tersedia secara gratis sebagai sumber terbuka karena kami merasa ini akan menjadi kontribusi berharga bagi komunitas keamanan informasi, membantu memajukan pemahaman masyarakat tentang tantangan keamanan yang terkait dengan teknologi web kontemporer, "tulis Google Michal Zalewski di blog keamanan perusahaan.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Ratproxy - dirilis sebagai versi 1.51 beta - cepat dan kurang intrusif daripada pemindai lain karena pasif dan tidak menghasilkan volume tinggi lalu lintas simulasi-serangan ketika berjalan, tulis Zalewski. Pemindai aktif dapat menyebabkan masalah dengan kinerja aplikasi.

Alat ini mengendus konten dan dapat memilih cuplikan JavaScript dari lembar gaya. Ini juga mendukung pemindaian SSL (Secure Socket Layer), di antara fitur-fitur lainnya.

Karena berjalan dalam mode pasif, Ratproxy menyoroti area yang dikhawatirkan yang "tidak selalu menunjukkan kelemahan keamanan yang sebenarnya. Informasi yang dikumpulkan selama sesi pengujian harus kemudian ditafsirkan oleh seorang profesional keamanan dengan pemahaman yang baik tentang masalah umum dan model keamanan yang digunakan dalam aplikasi web, "tulis Zalewski.

Google telah memposting ikhtisar Ratproxy serta tautan unduhan ke kode sumber. Kode berlisensi di bawah lisensi Apache 2.0 dapat dimasukkan dalam karya turunan, termasuk yang komersial, tetapi asal kode harus diakui.

Lemahnya keamanan aplikasi web terus membuat perusahaan malu, berpotensi menyebabkan hilangnya pelanggan atau data keuangan.

Survei tahun 2006 oleh Web Application Security Consortium menemukan bahwa 85,57 persen dari 31.373 situs rentan terhadap serangan skrip lintas situs, 26,38 persen rentan terhadap injeksi SQL dan 15,70 persen memiliki kesalahan lain yang dapat menyebabkan kehilangan data.

Akibatnya, vendor keamanan telah pindah untuk memenuhi kebutuhan alat keamanan yang lebih baik, dengan perusahaan teknologi besar yang memperoleh perusahaan yang lebih kecil dan khusus di bidang tersebut.

Pada bulan Juni 2007, IBM membeli Watchfire, sebuah perusahaan yang berfokus pada kerentanan aplikasi Web pemindaian, perlindungan data, dan audit kepatuhan. Dua minggu kemudian, Hewlett-Packard mengatakan akan membeli SPI Dynamics, saingan Watchfire yang perangkat lunaknya juga mencari kerentanan dalam aplikasi Web serta melakukan audit kepatuhan.