Ratproxyのロジックも活用

グーグル、Webアプリケーション脆弱性スキャナ「Skipfish」を公開

2010/03/23

 米グーグルは3月19日、Webアプリケーションの脆弱性を検査するスキャナ「Skipfish」を公開した。Apache License 2.0の下、オープンソースソフトウェアとして無償で公開されている。

 Skipfishは、Webアプリケーションの脆弱性を自動的に検出するツールだ。Nessusなど、ポートスキャンやバッファオーバーフローの有無などを検査するツールとは異なり、Webアプリケーションに特有のセキュリティホールを検査するもので、Webアプリケーションの開発者やサービス提供者向けに公開されている。

 具体的には、SQLインジェクションやコマンドインジェクションといった、外部からの不正侵入の原因となりうるWebアプリケーションの脆弱性を検査し、レポートする。また、同じくグーグルがオープンソースで公開している、プロキシサーバ型の脆弱性検査ツール「Ratproxy」のロジックを活用することで、クロスサイトスクリプティングやクロスサイトリクエストフォージェリなどの脆弱性も検出する。

 特徴は高速性。カスタムのHTTPスタックも含めてCで実装されており、LANならば毎秒2000件以上、インターネットごしでも毎秒500件以上のHTTPリクエストを処理できる。動作環境はLinux、FreeBSD 7.0、Mac OS X、Windows(Cygwin)など。

google01.jpg

(@IT 高橋睦美)

情報をお寄せください:

TechTargetジャパン

Security&Trust フォーラム 新着記事

キャリアアップ

- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る
- PR -

ホワイトペーパーTechTargetジャパン

ソリューションFLASH

「ITmedia マーケティング」新着記事

“プログラマティック”なSSPはパブリッシャーに福音をもたらすか?
米PubMaticのCo-Founder & CEOであるRajeev Goelはプライベートカンファレンス「AD REVEN...

NTTデータ、スマホと双方向通信するソーシャルサイネージソリューションを開発
NTTデータは10月22日、デジタルサイネージの視聴者が、自分のスマートフォンに鮮度の高い...

NTTコム オンライン、米ExactTargetとHubExchangeパートナーシップを締結
NTTコム オンライン・マーケティング・ソリューション(以下、NTTコム オンライン)は10...