Google đã quyết định nguồn mở hóa ứng dụng Ratproxy - một trong những công cụ kiểm tra mức độ bảo mật ứng dụng web vốn chỉ được sử dụng duy nhất trong nội bộ hãng.

Chức năng chính của Ratproxy kiểm tra và phát hiện những trục trặc trong mã nguồn ứng dụng web như lỗi XSS (cross-site scripting), lỗi caching trình duyệt cũng như một số lỗi thông dụng khác.

Michal Zalewski - một chuyên gia bảo mật của Google - cho biết hãng kỳ vòng Ratproxy sẽ góp một phần thiết thực trong việc tăng cường độ an toàn cho ứng dụng web cũng như giúp người dùng hiểu được những thách thức mà công nghệ web ngày nay đang phải đối mặt với.

Không giống như các ứng dụng tương tự khác, Ratproxy vận hành theo cơ chế chủ động, không xâm nhập sâu vào ứng dụng, không tạo ra một lượng lớn luồng dữ liệu giả mạo tấn công vào ứng dụng và vận hành nhanh hiệu quả hơn và không gây tác động đến tốc độ vận hành của ứng dụng web.

Chính nhờ việc vận hành theo cơ chế chủ động nên Ratproxy có khả năng lôi ra những khu vực có dấu hiệu đáng nghi chứ không thực sự là lỗi bảo mật. Các thông tin thu thập được trong quá trình thử nghiệm sau đó cần phải được một chuyên gia về bảo mật có hiểu biết sâu về những vấn đề bảo mật thường thấy cũng như mô hình bảo mật ứng dụng phân tích để tìm ra nguyên nhân.

Một số tính năng khác của Ratproxy gồm khả năng quét nội dung và lôi ra những đoạn mã Javascript được giấu trong Style Sheet, hỗ trợ quét giao thức an toàn SSL (Secure Socket Layer) ...

Bạn đọc quan tâm có thể tìm hiểu thêm thông tin về Ratproxy tại đây và tải về công cụ này tại địa chỉ. Ứng dụng được phát hành theo cơ chế bản quyền nguồn mở Apache 2.0, cho phép nhà phát triển được tích hợp mã nguồn Ratproxy vào cả các ứng dụng thương mại do họ phát triển nhưng phải công bố rõ nguồn mã nguồn đó trong phần giới thiệu chi tiết về ứng dụng.

"Vấn nạn" lỗi web

Trong một cuộc khảo sát được thực hiện năm 2006, Tổ chức bảo mật ứng dụng web đã phát hiện có tới 85,57% trong số 31.373 webiste được khảo sát mắc lỗi XSS, 26,38% mắc lỗi SQL Injection và 15,70% mắc những lỗi có thể bị tin tặc lợi dụng để ăn cắp dữ liệu.

Kết quả nghiên cứu này đã thúc đẩy các hãng bảo mật tăng cường thêm các công cụ bảo mật ứng dụng web đồng thời tạo ra trào lưu các hãng lớn "nuốt" các hãng nhỏ trên lĩnh vực bảo mật web nhằm củng cố và bảo vệ nền tảng web của bản thân họ.

Cụ thể, tháng 6/2007, IBM mua lại Watchfire - một công ty chuyên về công cụ quét lỗi bảo mật web, bảo vệ dữ liệu và kiểm duyệt ứng dụng trọn bộ phần cứng phần mềm. Hai tuần sau đó, HP cũng "nuốt" SPI Dynamics - đối thủ của cạnh tranh trực tiếp của Watchfire.

(Theo Vnmedia/Computerworld, Techworld)



Bình luận

  • TTCN (0)