2008年7月,米グーグルは同社が開発したWebアプリケーションのぜい弱性検出ツール「ratproxy」をオープンソースとして公開した。検索サイト最大手の同社は,攻撃を受けることも多い。Google Appsをはじめ,代表的なWeb 2.0系アプリケーション開発の先駆者でもある同社が開発したツールの威力はどれほどのものか。ぜい弱性検査の専門家が探った。
“受動的”な検出ツール,Web 2.0系のぜい弱性に強み検出できるぜい弱性は42種類,SQLインジェクションは苦手
Content-TypeなどでXSSの危険度をチェック
JavaScriptスクリプトに潜むXSSのぜい弱性も検出
JavaScript Hijack/JSON Hijackのぜい弱性