Ratproxyのロジックも活用

グーグル、Webアプリケーション脆弱性スキャナ「Skipfish」を公開

2010/03/23

 米グーグルは3月19日、Webアプリケーションの脆弱性を検査するスキャナ「Skipfish」を公開した。Apache License 2.0の下、オープンソースソフトウェアとして無償で公開されている。

 Skipfishは、Webアプリケーションの脆弱性を自動的に検出するツールだ。Nessusなど、ポートスキャンやバッファオーバーフローの有無などを検査するツールとは異なり、Webアプリケーションに特有のセキュリティホールを検査するもので、Webアプリケーションの開発者やサービス提供者向けに公開されている。

 具体的には、SQLインジェクションやコマンドインジェクションといった、外部からの不正侵入の原因となりうるWebアプリケーションの脆弱性を検査し、レポートする。また、同じくグーグルがオープンソースで公開している、プロキシサーバ型の脆弱性検査ツール「Ratproxy」のロジックを活用することで、クロスサイトスクリプティングやクロスサイトリクエストフォージェリなどの脆弱性も検出する。

 特徴は高速性。カスタムのHTTPスタックも含めてCで実装されており、LANならば毎秒2000件以上、インターネットごしでも毎秒500件以上のHTTPリクエストを処理できる。動作環境はLinux、FreeBSD 7.0、Mac OS X、Windows(Cygwin)など。

google01.jpg

(@IT 高橋睦美)

情報をお寄せください:

TechTargetジャパン

Security&Trust フォーラム 新着記事

キャリアアップ

- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る
- PR -

ホワイトペーパーTechTargetジャパン

ソリューションFLASH

「ITmedia マーケティング」新着記事

2014年、アジアで流行しそうなデジタル8分野を予測
2014年残り9カ月、APAC地域で流行すると思われるデジタルトレンドは何か。ClickZ.com で...

東京カンテイ、「Oracle Database Appliance」を導入 ―― 不動産関連のビッグデータ分析基盤を構築
日本オラクルとアシストは4月16日、土地/建物など不動産データの情報提供サービスを展開...

消費者のリアルタイムな行動を追え――複雑化する消費者心理を把握する手法「RET」とは?
宣伝会議が主催する「AdverTimes DAYS」が4月15日〜16日、東京・千代田区で開催された。...