Scanner Radio V3.3 un logiciel que je vous offre gratuitement
Google a publié gratuitement l'un de ses outils internes utilisés pour tester la sécurité des applications Web
Ratproxy, publié sous licence Apache 2.0, recherche une variété de problèmes de codage dans les applications Web.
"Nous avons décidé de rendre cet outil librement disponible en open source, car nous pensons que ce sera une contribution précieuse pour la communauté de la sécurité de l'information. la compréhension de la communauté des défis de sécurité associés aux technologies web contemporaines », écrit Michal Zalewski de Google sur un blog de sécurité d'entreprise
[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]Ratproxy - publié en version 1.51 beta - est rapide et moins intrusif que les autres scanners en ce sens qu'il est passif et ne génère pas un volume élevé de trafic simulant des attaques lors de l'exécution, écrit Zalewski. Les scanners actifs peuvent causer des problèmes avec les performances de l'application.
L'outil renifle le contenu et peut sélectionner des extraits de JavaScript à partir des feuilles de style. Il prend également en charge le scannage SSL (Secure Socket Layer), entre autres fonctionnalités. Comme il fonctionne en mode passif, Ratproxy met en évidence les sujets de préoccupation qui "ne sont pas nécessairement révélateurs de failles de sécurité réelles. être ensuite interprété par un professionnel de la sécurité avec une bonne compréhension des problèmes communs et des modèles de sécurité utilisés dans les applications web », a écrit Zalewski.
Google a posté un aperçu de Ratproxy ainsi qu'un lien de téléchargement vers le code source. Le code sous licence Apache 2.0 peut être incorporé dans des travaux dérivés, y compris commerciaux, mais l'origine du code doit être reconnue
La faible sécurité des applications Web continue d'embarrasser les entreprises, entraînant potentiellement la perte de données client ou financières.
Selon un sondage réalisé en 2006 par le Web Application Security Consortium, 85,57% des 31 373 sites étaient vulnérables aux attaques par script intersites, 26,38% étaient vulnérables à l'injection SQL et 15,70% avaient d'autres failles pouvant entraîner une perte de données. En conséquence, les fournisseurs de services de sécurité se sont tournés vers le besoin de meilleurs outils de sécurité, avec de grandes sociétés technologiques acquérant de petites sociétés spécialisées dans ce domaine.
En juin 2007, IBM a acheté Watchfire, une société axée sur la vulnérabilité des applications Web. numérisation, protection des données et audit de conformité. Deux semaines plus tard, Hewlett-Packard a déclaré qu'il achèterait SPI Dynamics, un concurrent de Watchfire dont le logiciel recherche également les vulnérabilités dans les applications Web et effectue des audits de conformité.
Sécurité, Sécurité, Plus de Sécurité
Les nouvelles sur la sécurité ont dominé cette semaine, et ce sera sans doute le cas la semaine prochaine également avec Black Hat et Defcon ...
Le fabricant d'antivirus offre un téléchargement gratuit pour désactiver la fonctionnalité Autorun de Windows, ce qui peut représenter un risque de sécurité.
Panda, une société de logiciels antivirus, a un nouveau vaccin USB Panda gratuit à télécharger qui peut désactiver la fonction Autorun de Windows pour un PC entier ou un lecteur USB particulier.
La police de Mumbai a arrêté samedi un chercheur en sécurité qui a enquêté sur des problèmes de sécurité dans des machines à voter électroniques. chercheur en sécurité qui a enquêté sur les machines à voter électroniques (EVM) utilisées lors des élections indiennes a été arrêté par la police à Mumbai samedi. Hari Prasad et d'autres chercheurs ont publié une vidéo plus tôt cette année montrant comment, après avoir bricolé avec l'électronique interne d'un EVM, ils pourraient effectuer des attaques
En avril, Prasad a déclaré à IDG News Service que son groupe de chercheurs avait accès à une EVM opérationnelle. lors d'une élection par le biais d'une source anonyme.