logiciels pilotes / drivers mobiles et PDA jeux logos et sonneries cartes virtuelles bandes annonces

Abonnez-vous aux flux RSS
Comptes & Budgets
Étudiez votre situation financière pour prendre les bonnes décisions.		 Gagdet 2.0
RSS, podcasts, widgets, web TV, jeux en ligne… depuis votre bureau.		 FORUMS
 NEWSLETTERS
 CHAT
 		MON ESPACE PRODUIT
 EMPLOI ET FORMATIONS
 TELECHARGEMENT PILOTES
         01net    Web
sécurité

Google Ratproxy détecte les failles du Web 2.0

L'éditeur vient de publier sous licence open source Apache son outil interne de détection des failles de sites Web : « cross site scripting », injection de code SQL, mauvaise gestion des URL...
Gilbert Kallenborn, 01net., le 04/07/2008 à 16h50
Partager cet article avec votre réseau professionnel Viadeo
partager
sur Viadeo
 écrire à l'auteur
écrire
à l'auteur
 imprimer l'article
imprimer
l'article
 envoyer par mail
envoyer
par mail
 accéder au forum
forum
> Participez !
Google propose un nouvel outil aux développeurs Web : Ratproxy. Il leur permet de vérifier de manière semi-automatique la sécurité de leur site Internet, afin de pouvoir combler rapidement les éventuelles failles cachées. Publié sous licence open source Apache, Ratproxy est en réalité la version publique d'un outil utilisé en interne par Google.
Le logiciel peut être installé en environnement FreeBSD, Linux, Mac OS X ou Windows (au travers d'une émulation Cygwin). Il fonctionne alors, tel que son nom l'indique, comme un proxy, c'est-à-dire un intermédiaire entre le site et le navigateur. Une fois que ce dernier est correctement configuré, il suffit de surfer normalement sur le site à tester. Les requêtes et les réponses sont automatiquement analysées par Ratproxy.

Détecter les failles de « cross-site scripting »

Selon Google, le logiciel est capable de détecter les failles typiques du Web 2.0 : cross-site scripting, injection de code SQL, interactions dangereuses entre plusieurs sources d'information, gestion non sécurisée des données sous format JSON, mauvaise gestion des URL, etc. Les failles sont classées suivant leur niveau de criticité et compilées dans un rapport HTML (voir image ci-dessous).
Ratproxy est actuellement disponible en version 1.51 beta. Google le considère comme un outil parmi d'autres dans le domaine des analyseurs de sécurité. D'autres outils sont d'ailleurs cités dans la documentation, comme WebScarab, Paros, Burp, ProxMon ou Pantera.

L'analyse d'un professionnel reste indispensable

Google prévient aussi que les rapports générés ne sont pas suffisants pour une étude approfondie, mais sont là pour donner des pistes de réflexion. « L'analyse par un professionnel de la sécurité est souvent nécessaire pour interpréter les résultats et traduire leur signification en regard de la plate-forme testée », explique Michael Zalewski, créateur de Ratproxy, dans un blog.
Pour certains professionnels de la sécurité, ces outils automatiques n'ont d'ailleurs pas de grande valeur en soi. « Ce type d'analyseur n'est pas nouveau. Il en sort cinq par an en moyenne, explique Hervé Schauer, consultant en sécurité. Nous les employons avec beaucoup de parcimonie. Nous préférons créer nos propres scripts de tests, adaptés à l'environnement du client. »
Pour partager cet article avec votre réseau professionnel Viadeo
Cliquez ici pour partager cet article avec votre réseau professionnel Viadeo

Photos
FORUM : soyez le premier à vous exprimer !
Google Ratproxy détecte les failles du Web 2.0
Accueil
Actualités
Entreprise
actualités
vidéo
indicateurs
logithèque pro
emploi et formation
distribution
Produits
Telecharger
Trucs & Astuces
Internet Pratique
Shopping
Emploi & Formation
Forums
Vidéo
01men
Services
sonneries
jeux