Komponenter

Google har offentliggjort en betaversion af et internt værktøj, der bruges til at teste sikkerheden for web- baserede applikationer.

FISKEguiden 13/16: Sikkerhed til Søs

FISKEguiden 13/16: Sikkerhed til Søs
Anonim

Ratproxy, udgivet under en Apache 2.0-softwarelicens, søger en række kodingsproblemer i webapplikationer, som f.eks. fejl, der kan tillade et script-angreb på tværs af webstedet eller forårsage cachingproblemer.

"Vi besluttede at gøre dette værktøj frit tilgængeligt som open source, fordi vi mener, at det vil være et værdifuldt bidrag til informationssikkerhedssamfundet, samfundets forståelse af sikkerhedsudfordringer i forbindelse med nutidens webteknologier ", skrev Googles Michal Zalewski på en firmasikkerhedsblog.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Ratproxy - udgivet som version 1.51 beta - er hurtig og mindre påtrængende end andre scannere, fordi den er passiv og ikke genererer et stort volumen af ​​angrebssimulerende trafik, når den kører, skrev Zalewski. Aktive scannere kan medføre problemer med applikations ydeevne.

Værktøjet sniffer indhold og kan udvælge uddrag af JavaScript fra stilark. Det understøtter også SSL (Secure Socket Layer) -scanning blandt andre funktioner.

Ratproxy fremhæver områder, der bekymrer sig om, at "ikke nødvendigvis er tegn på faktiske sikkerhedsfejl. Oplysningerne, der indsamles under en test session fortolkes derefter af en sikkerhedsprofessionel med en god forståelse af de fælles problemer og sikkerhedsmodeller, der anvendes i webapplikationer, "skrev Zalewski.

Google har indsendt et overblik over Ratproxy samt et downloadlink til kildekoden. Kode licenseret under Apache 2.0-licensen kan indarbejdes i afledte værker, herunder kommercielle dem, men kodenes oprindelse skal anerkendes.

Svag webapplikationssikkerhed fortsætter med at skræmme virksomheder, der potentielt kan medføre tab af kunde- eller økonomiske data.

En undersøgelse fra Web Application Security Consortium i 2006 viste, at 85,57 procent af 31.337 sites var sårbare over for script-angreb på tværs af websteder. 26,38 procent var sårbare over for SQL-injektion, og 15,70 procent havde andre fejl, der kunne medføre tab af data. > Som følge heraf er sikkerhedsleverandører flyttet for at opfylde behovet for bedre sikkerhedsværktøjer, hvor store teknologiselskaber erhverver mindre specialiserede virksomheder på området.

IBM købte i juni 2007 Watchfire, et firma, der fokuserede på webapplikationssårbarhed scanning, databeskyttelse og overensstemmelsesrevision. To uger senere sagde Hewlett-Packard, at det ville købe SPI Dynamics, en rival for Watchfire, hvis software også søger sårbarheder i webapplikationer samt gennemførelse af overensstemmelsesrevisioner.

Apple har udgivet en opdatering til iPhone's OS, der har til formål at rette fejl og forhindre dem, der har hacket (eller jailbroken) deres iPhones til at køre uanvendt Apple-software. Men hvis du håbede på Apple fikseret alle de fejl, der har genereret mange greb (som kort batterilevetid), fortsætter med at drømme.

Apple har udgivet en opdatering til iPhone's OS, der har til formål at rette fejl og forhindre dem, der har hacket (eller jailbroken) deres iPhones til at køre uanvendt Apple-software. Men hvis du håbede på Apple fikseret alle de fejl, der har genereret mange greb (som kort batterilevetid), fortsætter med at drømme.

Nogle af ændringerne / rettelserne 2,0 bringer:

Næste gang du står barfodet i en sikkerhedslinje på en amerikansk lufthavn, fordi at have passagerer fjerne deres sko er så afgørende for sikkerheden, til side fra snavs på gulvet kan du overveje resultaterne fra et US Department of Transportation audit, der fandt en høj risiko for cyberattack på flytrafikstyringssystemer. Revisionen var i nyhederne denne uge. Men der var nogle gode nyheder til rejsende og andre, der ikke vil slæbe rundt om bøger, aviser og magasiner - Amazon viste sin stærkt sc

Næste gang du står barfodet i en sikkerhedslinje på en amerikansk lufthavn, fordi at have passagerer fjerne deres sko er så afgørende for sikkerheden, til side fra snavs på gulvet kan du overveje resultaterne fra et US Department of Transportation audit, der fandt en høj risiko for cyberattack på flytrafikstyringssystemer. Revisionen var i nyhederne denne uge. Men der var nogle gode nyheder til rejsende og andre, der ikke vil slæbe rundt om bøger, aviser og magasiner - Amazon viste sin stærkt sc

1. Undersøgelse: US flyvekontrol sårbar over for cyberattack: Andre historier var splashier (Kindle DX, for at nævne en), men vi giver alligevel den bedste fakturering. En revision fra USA's Department of Transportation fandt en høj risiko for cyberangreb på amerikanske flyvekontrolsystemer, fordi disse systemer linker til usikre webapplikationer, der anvendes af luftfartsmyndigheder over hele landet. Penetrationstestere fandt 763 højrisikosvagheder i 70 webapplikationer til en række luftfartsfu

Dashboard-siden, der er tilgængelig på google.com/dashboard, giver dig et overblik over kalendere eller dokumenter, du deler, din chat historie og websteder, du har tilladelse til at få adgang til dine Picasa-billeder eller Gmail-kontakter (f.eks. et socialt netværk, der kan bruge din kontaktliste til at hjælpe dig med at finde andre brugere, på Facebook). Du finder også en liste over søgninger, du har udført, mens du er logget ind på Google. Hvis du bruger Google Toolbar og har aktiveret webhis

Dashboard-siden, der er tilgængelig på google.com/dashboard, giver dig et overblik over kalendere eller dokumenter, du deler, din chat historie og websteder, du har tilladelse til at få adgang til dine Picasa-billeder eller Gmail-kontakter (f.eks. et socialt netværk, der kan bruge din kontaktliste til at hjælpe dig med at finde andre brugere, på Facebook). Du finder også en liste over søgninger, du har udført, mens du er logget ind på Google. Hvis du bruger Google Toolbar og har aktiveret webhis

En ren søgningsseddel