Der Google-Konzern hat Ratproxy, ein Werkzeug zum Aufspüren von Sicherheitslücken in Web-2.0-Anwendungen, unter Apache License 2.0 veröffentlicht.

Das Tool fungiert als Proxy zwischen Browser und aufgerufenen Websites. Dabei protokolliert es jene Abschnitte der HTTP-Konversationen sowie der übertragenen HTML- und Javascript-Daten mit, die Hinweise auf typische Sicherheitslücken in aktuellen Webanwendungen geben. Dazu gehören Anfälligkeit für Cross-Site-Scripting (XSS), Cross-Site Request Forgery (XSRF) und riskante Javascript-Konstruktionen. Daneben beobachtet das Programm die gesetzten Cookies und aktive Inhalte wie beispielsweise Flash-Objekte. Daneben prüft das Tool die Möglichkeiten zu Directory Traversal, also das Aufrufen von interessanten Daten in Applikations- und Systemverzeichnissen, die eigentlich außerhalb der Reichweite des Surfers liegen sollten, beispielsweise "/etc/passwd". Diese und weitere Optionen lassen sich über die Kommandozeile von Ratproxy konfigurieren.

Das mitgelieferte Skript "ratproxy-report.sh" erzeugt aus den Ratproxy-Protokollen hübsch formatierte Berichte im HTML-Format. Die Entwickler weisen darauf hin, dass einige Befunde des Tools erst durch kundige Interpretation aussagekräftig werden. Zur Hintergrundinformation über die Sicherheit von Webanwendungen verweisen sie daher auf die Websites des Open Web Application Security Project (OWASP) und des Web Application Security Consortium.

Ratproxy sucht nach potentiellen Schwachstellen in Webanwendungen und gibt seine Warnungen schön formatiert aus.

Ratproxy befindet sich derzeit in der Version 1.5 beta, der ersten Veröffentlichung als Open Source. Die Software steht auf der Google-Projektseite als C-Quelltext zum Download bereit. Eine kurze, aber aussagekräftige Anleitung haben die Entwickler ebenfalls publiziert.

Der Google-Konzern hat Ratproxy, ein Werkzeug zum Aufspüren von Sicherheitslücken in Web-2.0-Anwendungen, unter Apache License 2.0 veröffentlicht.