Google da gratis escáner de seguridad de aplicaciones web

Google ha lanzado de forma gratuita una de sus herramientas internas utilizadas para probar la seguridad de las aplicaciones basadas en la web.

Ratproxy, lanzado bajo una licencia de software Apache 2.0, busca una variedad de problemas de codificación en aplicaciones web, como errores que podrían permitir un ataque de scripts entre sitios o causar problemas de almacenamiento en caché.

"Decidimos hacer que esta herramienta esté disponible de forma gratuita como código abierto porque creemos que será una valiosa contribución a la comunidad de seguridad de la información, ayudando a avanzar la comprensión de la comunidad de los desafíos de seguridad asociados con las tecnologías web contemporáneas ", escribió Michal Zalewski de Google en un blog de seguridad de la compañía.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Ratproxy - Lanzado como versión 1.51 beta - es rápido y menos intrusivo que otros escáneres en que es pasivo y no genera un alto volumen de tráfico que simula ataques al correr, escribió Zalewski. Los escáneres activos pueden causar problemas con el rendimiento de la aplicación.

La herramienta olfatea el contenido y puede seleccionar fragmentos de JavaScript de las hojas de estilo. También es compatible con el escaneo SSL (Secure Socket Layer), entre otras características.

Dado que se ejecuta en modo pasivo, Ratproxy resalta áreas de preocupación que "no son necesariamente indicativas de fallas de seguridad reales. La información recopilada durante una sesión de prueba debería ser interpretado por un profesional de la seguridad con una buena comprensión de los problemas comunes y los modelos de seguridad empleados en las aplicaciones web ", escribió Zalewski.

Google ha publicado una descripción general de Ratproxy y un enlace de descarga al código fuente. El código licenciado bajo la licencia Apache 2.0 puede incorporarse en trabajos derivados, incluidos los comerciales, pero debe reconocerse el origen del código.

La seguridad de las aplicaciones web débiles sigue avergonzando a las empresas, lo que podría causar la pérdida de datos financieros o de los clientes.

Una encuesta de 2006 del Consorcio de seguridad de aplicaciones web encontró que 85.57 por ciento de 31,373 sitios eran vulnerables a ataques de scripting entre sitios, 26.38 por ciento eran vulnerables a inyección SQL y 15.70 por ciento tenían otras fallas que podrían llevar a pérdida de datos.

Como resultado, los proveedores de seguridad se han movido para satisfacer la necesidad de mejores herramientas de seguridad, con grandes compañías de tecnología adquiriendo compañías más pequeñas y especializadas en el campo.

En junio de 2007, IBM compró Watchfire, una compañía que se enfoca en la vulnerabilidad de aplicaciones web escaneo, protección de datos y auditoría de cumplimiento. Dos semanas más tarde, Hewlett-Packard dijo que compraría SPI Dynamics, un rival de Watchfire cuyo software también busca vulnerabilidades en aplicaciones web y realiza auditorías de cumplimiento.