Google、Webアプリ向けの高速な脆弱性スキャナ「Skipfish」を公開
Googleは3月19日、Webアプリケーション向けのセキュリティ脆弱性スキャナ「Skipfish」を公開した。誤検知を抑えた高度なセキュリティチェックを導入、とらえにくいセキュリティホールを検出できるとしている。
米Googleは3月19日、Webアプリケーション向けのセキュリティ脆弱性スキャナ「Skipfish」を公開した。現在最新版となるバージョン1.1βのコードが公開されている。
Skipfishはクロスサイトスクリプティング、SQLインジェクションなど、Webアプリケーションで発生する可能性のあるセキュリティホールをスキャンして検出するツール。誤検知を抑えた高度なセキュリティチェックを導入、とらえにくいセキュリティホールを検出できるとしている。Cで実装されており、HTTPハンドリング向けに最適化することで速度を改善、LAN環境で毎秒2000件以上のHTTP要求を処理できるという。また、使い勝手が良い点も特長としている。
検出できる問題としてはSQLインジェクションやシェルコマンドの実行、XML/XPathインジェンクション、フォーマット文字列のチェックミスや整数オーバーフローといった危険度の高い脆弱性から、各種クロスサイトスクリプティングやディレクトリトラバーサル攻撃、不正なMIMEタイプの利用といった危険度が中程度のもの、不正なリダイレクトや不正なSSL証明書の利用といった比較的危険度の低いものまで多数が用意されている。
SkipfishはLinux、FreeBSD 7.0以上、Mac OS X、Windows(Cygwin)に対応するコマンドラインベースのツールで、ライセンスはApache License 2.0。
関連記事
- 不正コードの標的はコンピュータからブラウザへ?
セキュリティ研究者が、JavaScript対応ブラウザを攻撃に利用するコードをデモした。クロスサイトスクリプティングの脆弱性を悪用した攻撃は危険度を増している。 - Googleを脆弱性スキャナに。ハッカー集団が新ツール
ハッカー集団Cult of the Dead Cowが、脆弱なWebアプリケーションやパスワードなどをGoogle検索するツールをリリースした。
関連リンク
Copyright © 2010 OSDN Corporation, All Rights Reserved.