Tinhoc1088's Blog

Icon

Tư Vấn Tin Học

Google "biếu không" công cụ bảo mật web

Google đã quyết định nguồn mở hóa ứng dụng Ratproxy – một trong những công cụ kiểm tra mức độ bảo mật ứng dụng web vốn chỉ được sử dụng duy nhất trong nội bộ hãng.

Chức năng chính của Ratproxy kiểm tra và phát hiện những trục trặc trong mã nguồn ứng dụng web như lỗi XSS (cross-site scripting), lỗi caching trình duyệt cũng như một số lỗi thông dụng khác.

Michal Zalewski – một chuyên gia bảo mật của Google – cho biết hãng kỳ vọng Ratproxy sẽ góp một phần thiết thực trong việc tăng cường độ an toàn cho ứng dụng web cũng như giúp người dùng hiểu được những thách thức mà công nghệ web ngày nay đang phải đối mặt với.

Không giống như các ứng dụng tương tự khác, Ratproxy vận hành theo cơ chế chủ động, không xâm nhập sâu vào ứng dụng, không tạo ra một lượng lớn luồng dữ liệu giả mạo tấn công vào ứng dụng và vận hành nhanh hiệu quả hơn và không gây tác động đến tốc độ vận hành của ứng dụng web.

Chính nhờ việc vận hành theo cơ chế chủ động nên Ratproxy có khả năng lôi ra những khu vực có dấu hiệu đáng nghi chứ không thực sự là lỗi bảo mật. Các thông tin thu thập được trong quá trình thử nghiệm sau đó cần phải được một chuyên gia về bảo mật có hiểu biết sâu về những vấn đề bảo mật thường thấy cũng như mô hình bảo mật ứng dụng phân tích để tìm ra nguyên nhân.

Một số tính năng khác của Ratproxy gồm khả năng quét nội dung và lôi ra những đoạn mã Javascript được giấu trong Style Sheet, hỗ trợ quét giao thức an toàn SSL (Secure Socket Layer) …

Bạn đọc quan tâm có thể tìm hiểu thêm thông tin về Ratproxy tại đây và tải về công cụ này tại địa chỉ. Ứng dụng được phát hành theo cơ chế bản quyền nguồn mở Apache 2.0, cho phép nhà phát triển được tích hợp mã nguồn Ratproxy vào cả các ứng dụng thương mại do họ phát triển nhưng phải công bố rõ nguồn mã nguồn đó trong phần giới thiệu chi tiết về ứng dụng.

“Vấn nạn” lỗi web

Trong một cuộc khảo sát được thực hiện năm 2006, Tổ chức bảo mật ứng dụng web đã phát hiện có tới 85,57% trong số 31.373 webiste được khảo sát mắc lỗi XSS, 26,38% mắc lỗi SQL Injection và 15,70% mắc những lỗi có thể bị tin tặc lợi dụng để ăn cắp dữ liệu.

Kết quả nghiên cứu này đã thúc đẩy các hãng bảo mật tăng cường thêm các công cụ bảo mật ứng dụng web đồng thời tạo ra trào lưu các hãng lớn “nuốt” các hãng nhỏ trên lĩnh vực bảo mật web nhằm củng cố và bảo vệ nền tảng web của bản thân họ.

Cụ thể, tháng 6/2007, IBM mua lại Watchfire – một công ty chuyên về công cụ quét lỗi bảo mật web, bảo vệ dữ liệu và kiểm duyệt ứng dụng trọn bộ phần cứng phần mềm. Hai tuần sau đó, HP cũng “nuốt” SPI Dynamics – đối thủ của cạnh tranh trực tiếp của Watchfire.

Theo VnMedia (Computerworld, Techworld)

Filed under: Bảo Mật-Secure www

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

Top 10 Best Hosting

HostGator Review HostGator Review
Hostgator $3.96/mo. 25% Off code: Best25PercentOff
iPage Review iPage Review
Cheapest Hosting - only $1.99/month Visit iPage
BlueHost Review BlueHost Review
Best Personal Hosting - $4.95/mo Visit BlueHost
A2Hosting Review A2Hosting Review
Best SSD Hosting - $4.97/mo Visit A2Hosting
GoDaddy Review GoDaddy Review
Best Budget Hosting - $1.99/mo Visit GoDaddy
Stablehost Review Stablehost Review
Stablehost Coupons 40% Off code: Best40PercentOff
Arvixe Review Arvixe Review
Arvixe hosting - $4/mo Visit Arvixe
InMotion Hosting Review InMotion Hosting Review
Best Business Hosting - $5.99/mo Visit InMotion
Dreamhost Review Dreamhost Review
Dreamhost $75 off code: BEST75USDOFF
IXWebHosting Review IXWebHosting Review
IXWebHosting - $3.95/mo Visit IXWebHosting
View All Web Hosting Coupons

RSS Tư vấn tin học

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.

RSS USB 3G

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.

RSS Di động

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.

RSS Chat SMS

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.

RSS Phục hồi dữ liệu

  • Lỗi: có thể dòng không tin đang không hoạt động. Hãy thử lại sau.
%d bloggers like this: