google在本周宣布释出内部所使用的被动式网络应用程序安全评估工具ratproxy的源码。
ratproxy是google信息安全技术团队所研发的程序安全侦测工具,一向为google内部所使用。google信息安全工程师michalzalewski表示,google决定将该工具免费开放是因为他们认为这将对信息安全社群有价值,强化社群理解与web技术有关的安全问题。
ratproxy能够分析诸如跨站威胁、防御伪装的跨站请求,以及侦测到快取问题或是潜在的信息泄露问题等。
google在文件中表示,ratproxy为一半自动、多数是被动的网络应用程序安全侦测工具,它同时补足了传统主动爬寻及手动侦测的缺点,而且特别针对潜在的问题及安全相关设计的精确侦测与自动批注进行优化。
至于比起传统安全侦测工具,google亦列出几项ratproxy的优势,包括在默认的操作模式中不会引起仿真攻击所带来的庞大流量,可避免正在使用的系统的瓦解,而且它提供直觉式的操作,并降低时间及带宽的使用,并能找出产品的问题与潜在的漏洞等。
现在开发人员皆可自google网站下载ratproxy,它支持linux、freebsd、macosx及windows等作业环境。
源码地址:http://code.google.com/p/ratproxy/
