Ratproxyのロジックも活用

グーグル、Webアプリケーション脆弱性スキャナ「Skipfish」を公開

2010/03/23

 米グーグルは3月19日、Webアプリケーションの脆弱性を検査するスキャナ「Skipfish」を公開した。Apache License 2.0の下、オープンソースソフトウェアとして無償で公開されている。

 Skipfishは、Webアプリケーションの脆弱性を自動的に検出するツールだ。Nessusなど、ポートスキャンやバッファオーバーフローの有無などを検査するツールとは異なり、Webアプリケーションに特有のセキュリティホールを検査するもので、Webアプリケーションの開発者やサービス提供者向けに公開されている。

 具体的には、SQLインジェクションやコマンドインジェクションといった、外部からの不正侵入の原因となりうるWebアプリケーションの脆弱性を検査し、レポートする。また、同じくグーグルがオープンソースで公開している、プロキシサーバ型の脆弱性検査ツール「Ratproxy」のロジックを活用することで、クロスサイトスクリプティングやクロスサイトリクエストフォージェリなどの脆弱性も検出する。

 特徴は高速性。カスタムのHTTPスタックも含めてCで実装されており、LANならば毎秒2000件以上、インターネットごしでも毎秒500件以上のHTTPリクエストを処理できる。動作環境はLinux、FreeBSD 7.0、Mac OS X、Windows(Cygwin)など。

google01.jpg

(@IT 高橋睦美)

情報をお寄せください:

TechTargetジャパン

Security&Trust フォーラム 新着記事

キャリアアップ

- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る
- PR -

ホワイトペーパーTechTargetジャパン

ソリューションFLASH

「ITmedia マーケティング」新着記事

ブランドコンテンツは国境を超えて拡散する
BrandedとSocial@Ogilvy(ソーシャル・アット・オグルヴィ)が主催するアジア最大規模の...

(前編)顧客思考を追究するトイザらスの「脱オムニチャネル」
徹底した顧客重視の視点により、トイザらスは「オムニチャネル」から「シームレスリテイ...

ジャストシステム、LINEの企業スタンプに関するユーザーの行動調査の結果を発表
ジャストシステムは10月30日、セルフ型アンケートサービス「Fastask(ファストアスク)」...