Ratproxyのロジックも活用

グーグル、Webアプリケーション脆弱性スキャナ「Skipfish」を公開

2010/03/23

 米グーグルは3月19日、Webアプリケーションの脆弱性を検査するスキャナ「Skipfish」を公開した。Apache License 2.0の下、オープンソースソフトウェアとして無償で公開されている。

 Skipfishは、Webアプリケーションの脆弱性を自動的に検出するツールだ。Nessusなど、ポートスキャンやバッファオーバーフローの有無などを検査するツールとは異なり、Webアプリケーションに特有のセキュリティホールを検査するもので、Webアプリケーションの開発者やサービス提供者向けに公開されている。

 具体的には、SQLインジェクションやコマンドインジェクションといった、外部からの不正侵入の原因となりうるWebアプリケーションの脆弱性を検査し、レポートする。また、同じくグーグルがオープンソースで公開している、プロキシサーバ型の脆弱性検査ツール「Ratproxy」のロジックを活用することで、クロスサイトスクリプティングやクロスサイトリクエストフォージェリなどの脆弱性も検出する。

 特徴は高速性。カスタムのHTTPスタックも含めてCで実装されており、LANならば毎秒2000件以上、インターネットごしでも毎秒500件以上のHTTPリクエストを処理できる。動作環境はLinux、FreeBSD 7.0、Mac OS X、Windows(Cygwin)など。

google01.jpg

(@IT 高橋睦美)

情報をお寄せください:

TechTargetジャパン

Security&Trust フォーラム 新着記事

キャリアアップ

- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る
- PR -

ホワイトペーパーTechTargetジャパン

ソリューションFLASH

「ITmedia マーケティング」新着記事

第1回 CRMプロジェクトからの学びとCCO(Chief Customer Officer)の登場
CRMが日本に登場して約20年、企業は常に“成功事例”を模索しています。本連載では企業の...

ダウンロードフリー! 「変わる広告会社(3)テクノロジーが広告会社とクライアントの関係性を変える」eBook版
「ITmedia マーケティング」編集部では、過去の人気連載をeBook形式に再編集した新シリー...

第4回 経営資源を量から質へシフトせよ
営業現場にSales Force Automation(以下SFA)が浸透し、マーケティングオートメーション...