Пентест web приложений. Использование веб сканера. Поиск уязвимостей веб сайтов (XSS, SQL Injection)
Ang Google ay pinakawalan nang libre para sa isa sa mga panloob na tool na ginagamit para sa pagsubok ng seguridad ng mga application na batay sa Web.
Ratproxy, na inilabas sa ilalim ng lisensya ng software ng Apache 2.0, ay naghahanap ng iba't ibang mga problema sa pag-coding sa mga application sa Web, tulad ng mga error na maaaring pahintulutan ang pag-atake ng cross-site scripting o maging sanhi ng mga problema sa pag-cache.
"Nagpasya kaming gawing malayang magagamit ang tool na ito bilang open source dahil sa palagay namin magiging mahalagang kontribusyon ito sa komunidad ng seguridad ng impormasyon, ang pang-unawa ng komunidad tungkol sa mga hamon sa seguridad na nauugnay sa mga kontemporaryong teknolohiya sa web, "ang isinulat ni Google Michal Zalewski sa isang blog ng seguridad ng kumpanya.
[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]Ratproxy - Inilabas bilang bersyon 1.51 beta - ay mabilis at mas mababa pakialam kaysa sa iba pang mga scanners sa na ito ay passive at hindi bumuo ng isang mataas na dami ng atake-simulating trapiko kapag tumatakbo, Zalewski wrote. Ang mga aktibong scanner ay maaaring maging sanhi ng mga problema sa pagganap ng application.
Ang tool ay nagsusuot ng nilalaman at maaaring pumili ng mga snippet ng JavaScript mula sa mga style sheet. Sinusuportahan din nito ang pag-scan ng SSL (Secure Socket Layer), bukod sa iba pang mga tampok.
Dahil ito ay tumatakbo sa isang passive mode, ang Ratproxy ay nagha-highlight ng mga lugar ng pag-aalala na "ay hindi kinakailangang nagpapahiwatig ng aktwal na mga flaws sa seguridad. pagkatapos ay ipaliwanag sa pamamagitan ng isang seguridad na propesyonal na may isang mahusay na pag-unawa sa mga karaniwang mga problema at mga modelo ng seguridad na ginagamit sa mga web application, "Sinabi Zalewski.
Ang Google ay nai-post ng isang pangkalahatang-ideya ng Ratproxy pati na rin ang isang link sa pag-download sa source code. Ang code na lisensyado sa ilalim ng lisensya ng Apache 2.0 ay maaaring ilakip sa mga derivative works, kabilang ang mga komersyal, ngunit ang pinanggalingan ng code ay dapat na kinikilala.
Ang mahina web application security ay patuloy na nagpapahiya sa mga kumpanya, potensyal na nagiging sanhi ng pagkawala ng customer o pinansiyal na data.
Ang isang 2006 survey ng Web Application Security Consortium ay natagpuan na ang 85.57 porsyento ng 31,373 mga site ay mahina laban sa cross-site na pag-atake sa scripting, 26.38 porsiyento ay mahina sa SQL injection at 15.70 porsiyento ay may iba pang mga pagkakamali na maaaring humantong sa pagkawala ng data. > Bilang resulta, ang mga vendor ng seguridad ay lumipat upang punan ang pangangailangan para sa mas mahusay na mga tool sa seguridad, na may malalaking kumpanya ng teknolohiya na nakakuha ng mas maliit, dalubhasang kumpanya sa larangan.
Noong Hunyo 2007, binili ng IBM ang Watchfire, isang kumpanya na nakatuon sa kahinaan sa Web application pag-scan, proteksyon ng data at pag-audit sa pagsunod. Pagkalipas ng dalawang linggo, sinabi ng Hewlett-Packard na bibili ito ng SPI Dynamics, isang karibal ng Watchfire na ang software ay naghahanap din para sa mga kahinaan sa mga aplikasyon ng Web gayundin ang pagsasagawa ng mga audit sa pagsunod.
Ligtas na Tanggalin ang mga Memory Card nang hindi ginagamit ang 'Ligtas na Alisin ang Hardware'
Kung hihinto ang Windows sa pagkilala sa iyong SD at iba pang mga memory card pagkatapos na gamitin ang Ligtas na Tanggalin Hardware
Bagaman ang ilang mga analyst ay umaasa sa paggastos ng seguridad upang tumaas sa taong ito - hindi bababa sa bilang isang porsyento ng kabuuang paggastos sa IT - ilang CIO ang nagbibigay ng malubhang pag-iisip sa isang hindi maiisip na ideya ng pagbabawas ng mga badyet sa seguridad gaya ng mga negosyong tumingin upang mabawasan ang mga gastos sa panahon ng pandaigdigang pag-urong.
"Halos tiyak na nakakaranas ang mga tao," sabi ni Pete Lindstrom, isang analyst na may research firm Spire Security. "Kung sa tingin mo ng seguridad bilang isang cost center sa loob ng isang cost center [IT], ... pagkatapos ang seguridad ay isang magandang lugar upang magsimula," dagdag niya. "May mga kumpanya na nagpapawalang-bisa sa kanilang seguridad para makapagpatuloy sa ilalim ng linya," sabi ni Charlie Meister, executive director ng University of Southern California's Institute for Critic
Sa isang Windows phone, ang mga tao ay maaaring mag-navigate sa kanilang telepono nang madali ang touch ng isang finger1 at mag-browse sa Internet sa isang mahusay na mobile na browser. Maaari ring kumonekta ang mga tao sa dalawang bagong serbisyo na nagbibigay-daan sa kanila na i-back up at magbahagi ng data mula sa kanilang telepono sa Web at bumili ng iba`t ibang mga kapaki-pakinabang na application mula sa Windows Marketplace para sa Mobile. Inaasahan ng Microsoft ang mga kasosyo upang magha
Sa isang Windows phone, ang mga tao ay maaaring umasa sa kanilang telepono upang balansehin ang kanilang buhay, mula sa trabaho papunta sa bahay upang i-play. Kung nag-e-edit ito ng isang dokumento o nagbabahagi ng ilang mga update sa bakasyon sa pamamagitan ng isang social networking application, tinutulungan ng mga teleponong Windows ang mga tao na manatiling nakakonekta sa mga tao at impormasyon na pinapahalagahan nila ang karamihan.