Ratproxyのロジックも活用

グーグル、Webアプリケーション脆弱性スキャナ「Skipfish」を公開

2010/03/23

 米グーグルは3月19日、Webアプリケーションの脆弱性を検査するスキャナ「Skipfish」を公開した。Apache License 2.0の下、オープンソースソフトウェアとして無償で公開されている。

 Skipfishは、Webアプリケーションの脆弱性を自動的に検出するツールだ。Nessusなど、ポートスキャンやバッファオーバーフローの有無などを検査するツールとは異なり、Webアプリケーションに特有のセキュリティホールを検査するもので、Webアプリケーションの開発者やサービス提供者向けに公開されている。

 具体的には、SQLインジェクションやコマンドインジェクションといった、外部からの不正侵入の原因となりうるWebアプリケーションの脆弱性を検査し、レポートする。また、同じくグーグルがオープンソースで公開している、プロキシサーバ型の脆弱性検査ツール「Ratproxy」のロジックを活用することで、クロスサイトスクリプティングやクロスサイトリクエストフォージェリなどの脆弱性も検出する。

 特徴は高速性。カスタムのHTTPスタックも含めてCで実装されており、LANならば毎秒2000件以上、インターネットごしでも毎秒500件以上のHTTPリクエストを処理できる。動作環境はLinux、FreeBSD 7.0、Mac OS X、Windows(Cygwin)など。

google01.jpg

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間