Google publie RatProxy, un outil de sécurité pour le Web

Le par  |  1 commentaire(s)
Google Code

Un nouvel outil pour tester la sécurité de ses applications Web, voilà ce que propose Google avec la sortie sous licence libre Apache de son outil RatProxy.

Google CodeGoogle vient de fournir sous licence libre, Apache en l'occurence, un nouvel outil baptisé RatProxy. Ce dernier est à destination des développeurs de sites Internet et devrait les aider à mieux identifier les failles potentielles de leur création.

RatProxy était auparavant un outil développé en interne chez Google. Les sources du logiciel sont disponibles sur le site Code du géant. L'outil est multiplateformes mais nécessitera Cygwin pour fonctionner sous Windows. RatProxy, comme son nom l'indique, se configure tout d'abord comme un proxy. Une fois cela fait, il faudra ensuite visiter le site Internet à tester et l'application se chargera de manière quasi automatique de tester et rédiger un rapport au format HTML.

RatProxy serait conçu pour dénicher une bonne partie des problèmes de sécurité les plus communs : XSS, injection SQL, URLs mal gérées... Google affirme cependant que ces simples tests ne sont pas suffisants pour une vérification approfondie de la sécurité d'un site. La société rappelle également qu'il faut un expert en sécurité pour analyser correctement le rapport créé.

Notons enfin que l'outil n'est pas le premier du genre mais que l'offre, libre et gratuite, peut représenter  un complément intéressant avant la mise en place d'un site. Si Google espère ainsi renforcer la sécurité du Web, le danger de ce type d'outil est qu'il peut être utilisé à des fins moins nobles.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #271871
Simple à mettre en oeuvre, je viens de le mettre en proxy pendant une heure et de lire l'analyse de l'utilisation de l'intranet.

Visiblement il est très à cheval sur les encodages et les MIME type. Il a un peu de mal a reconnaître le MIME type "application/xhtml+xml" qu'll détecte en tant que "text/html".

Son analyse des XSS, requête, URL etc. est cohérente avec d'autres analyses internes : ras <img src="/img/emo/cool.gif" alt="8:" />

Effectivement ça fonctionne très bien pour FreeBS, MacOS et Linux, à l'exception de la décompilation de flash : message d'erreur à la compilation pour freebsd & MacOS.

Merci Fabien B. pour cette news, rendez-vous la semaine prochaine avec un autre outil ludique pour égayer les lundi matin pluvieux !!
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]