The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Компания Google открыла программу для проверки безопасности web-приложений

22.03.2010 15:17

Разработчики из компании Google представили новый открытый проект Skipfish, представляющий собой систему для тестирования безопасности web-приложений и выступающий в роли аналога таким инструментам, как Nikto и Nessus. Skipfish относится к активным инструментам проверки: на первом шаге осуществляется создание карты сайта и словаря, после чего выполняется набор проверок всех форм и параметров.

Особенности Skipfish:

  • Высокая производительность: код написан на языке Си и оптимизирован для обработки HTTP-запросов с минимальной нагрузкой на CPU. На обычном оборудовании Skipfish способен обеспечить 2-7 тыс. проверок в секунду при тестировании web-приложений в локальной сети. Поддерживаются расширенные возможности HTTP/1.1, такие как range-запросы, сжатие контента, keep-alive;
  • Простота использования: минимальное ручное участие в конфигурации, для определения параметров проверки и выявления скрытых путей используется специальный эвристический анализатор с элементами самообучения. Поддерживается широкий спектр типовых web-фреймворков, построение словаря параметров на лету на основе контента сайта и возможность работы с сайтами, использующими смешанные технологии.
  • Передовая логика проверки безопасности: высокое качество проверки с минимальным числом ложных срабатываний, большой охват различных типов проверок (около 70 типов проверок, среди которых XSRF, XSS, целочисленные переполнения, ошибки задания формата строки, подстановка SQL, XML и shell-команд), включая выявление изощренных уязвимостей и скрытых точек возможного нарушения безопасности.

Кроме Skipfish, осуществляющего проверку через симулирование атаки, компания Google открыла несколько лет назад код системы ratproxy, реализованной в виде прокси-сервера, пассивно пропускающего через себя трафик и выявляющего представляющую угрозу безопасности активность.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: Компания Google выпустила прокси для контроля безопасности web-приложений
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/25903-security
Ключевые слова: security, google, web, test
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (7) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, funky_dennis (?), 20:33, 22/03/2010 [ответить]  
  • +/
    Посмотрел в код - жесть.
    Там юзается poll. Всё прогрессивное человечество пользует libev.
     
  • 1.2, Одмин (?), 20:34, 22/03/2010 [ответить]  
  • +/
    про ratproxy неправда, скачайте и увидите бинарный блоб с мелкой обёрткой.
     
     
  • 2.5, thedix (??), 09:09, 23/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я так понял, там бинарик flare - это swf-декомпилятор.
     

  • 1.6, thedix (??), 09:11, 23/03/2010 [ответить]  
  • +/
    Собрал, натравил на один простенький сайт.
    Вот уже 400 тыщ запросов прогнал, конца и края не видно.
     
  • 1.7, Аноним (-), 11:29, 23/03/2010 [ответить]  
  • +/
    Да, а капчу оно распознает? Или так и будет долбиться в закрытые двери.
     
  • 1.8, Аноним (-), 12:02, 23/03/2010 [ответить]  
  • +/
    А что капчей нынче можно защититься от инекций, инклудов и xss?
     
     
  • 2.10, Аноним (-), 12:39, 23/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, но проверку сайт пройдёт как надёжный. Это то и плохо.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру