nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
Google Ratproxy détecte les failles du Web 2.0
L'éditeur vient de publier sous licence open source Apache son outil interne de détection des failles de sites Web : ' cross site scripting ', injection de code SQL, mauvaise gestion des URL...
Google propose un nouvel outil aux développeurs Web :
Ratproxy. Il leur permet de vérifier de manière semi-automatique la sécurité de leur site Internet, afin de pouvoir combler rapidement les éventuelles failles cachées. Publié sous licence
open source Apache, Ratproxy est en réalité la version publique d'un outil utilisé en interne par Google.
Le logiciel peut être installé en environnement FreeBSD, Linux, Mac OS X ou Windows (au travers d'une émulation Cygwin). Il fonctionne alors, tel que son nom l'indique, comme un proxy, c'est-à-dire un intermédiaire entre le
site et le navigateur. Une fois que ce dernier est correctement configuré, il suffit de surfer normalement sur le site à tester. Les requêtes et les réponses sont automatiquement analysées par Ratproxy.
Détecter les failles de ' cross-site scripting '
Selon Google, le logiciel est capable de détecter les failles typiques du Web 2.0 : cross-site scripting, injection de code SQL, interactions dangereuses entre plusieurs sources d'information, gestion non
sécurisée des données sous format
JSON, mauvaise gestion des URL, etc. Les failles sont classées suivant leur niveau de criticité et compilées dans un rapport HTML (voir image ci-dessous).
Ratproxy est actuellement disponible en version 1.51 beta. Google le considère comme un outil parmi d'autres dans le domaine des analyseurs de sécurité. D'autres outils sont d'ailleurs cités dans la documentation, comme WebScarab,
Paros, Burp, ProxMon ou Pantera.
L'analyse d'un professionnel reste indispensable
Google prévient aussi que les rapports générés ne sont pas suffisants pour une étude approfondie, mais sont là pour donner des pistes de réflexion. ' L'analyse par un professionnel de la sécurité est souvent
nécessaire pour interpréter les résultats et traduire leur signification en regard de la plate-forme testée ', explique Michael Zalewski, créateur de Ratproxy, dans un
blog.
Pour certains professionnels de la sécurité, ces outils automatiques n'ont d'ailleurs pas de grande valeur en soi. ' Ce type d'analyseur n'est pas nouveau. Il en sort cinq par an en moyenne, explique
Hervé Schauer, consultant en sécurité. Nous les employons avec beaucoup de parcimonie. Nous préférons créer nos propres scripts de tests, adaptés à l'environnement du client. '
agrandir la photo
envoyer
par mail
par mail
imprimer
l'article
l'article
Actu précédente
à lire aussi
SUR LES MÊMES THÈMES 
Nos partenaires