Google laat tool passief scannen op XSS
Gepubliceerd: Maandag 7 juli 2008
Auteur: Michiel van Blommestein
Google heeft een gratis scannertje uitgegeven waarmee de beveiliging van webapplicaties kan worden getest. Onder andere kan naar de beruchte cross-site scripting (XSS)-lekken worden gezocht.
Ratproxy wordt al langer intern door het bedrijf gebruikt om code te controleren op mogelijke bugs en lekken. Google heeft het pakketje vorige week vrijgegeven onder de Apache 2.0-licentie. De huidige versie is de 1.51 Bèta.
Google heeft de tool vrijgegeven omdat ze "denken dat het een waardevolle bijdrage kan leveren aan de gemeenschap rond informatiebeveiliging", zo schrijft Google-beveiligingsman Michal Zalewski op het Securityblog van de zoekgrootmacht. De tool kan onder andere stukjes JavaScript uit de stylesheet opsporen en SSL-scans uitvoeren.
Voordeel ten opzichte van andere scanners is volgens Zalewski dat het een 'passieve' scanner is, die zich laat voeden met informatie die de webapp zelf uitzendt. Andere scanners simuleren normaalgesproken een aanval op de website om lekken op te sporen. "Vergeleken met de traditionele actieve crawlers en handmatig ingestelde scanners is de overhead met deze methode miniem, is er weinig risico tot verstoring van de site, worden ook de complexe, clientapplicaties die in web 2.0-oplossingen worden gebruikt voor een groot deel meegenomen, en het geeft meer inzicht in dynamische cross-domain vertrouwensmodellen", zo schrijft Zalewski.
XSS is een van de meest voorkomende kwetsbaarheden in websites, en in het verleden zijn nogal wat pagina's van ook grote bedrijven getroffen door aanvallen. Scanners om de lekken op te sporen worden dan ook steeds populairder.
Bron: Techworld
