Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。

Google社内で現役の脆弱性検知ツール - ratproxy

Googleは1日(米国時間)、Webアプリケーションのセキュリティ監査を実施するツール「ratproxy」をリリースした。ratproxyはプロキシサーバとして動作するオープンソースソフトウェア。同ソフトウェアを経由してWebアプリケーションを操作することで、XSS(Cross Site Scripting)問題や不適切なXSRF(Cross Site Request Forgeries)対処など、各種の脆弱性を検出できる。また付属するratproxy-report.shを併用することで、注釈や問題のランク付けをまとめたレポートを出力することが可能だ。

現在の最新版は2日(米国時間)に公開された1.51betaで、Apache License Version 2.0のもとで公開されている。

ratproxyの動作環境は次のとおり。

• Linux
• FreeBSD
• MacOS X
• Windows (Cygwin)

Google社内で開発・活用されている脆弱性発見ツールとあって、その期待度は高い。本稿ではFreeBSDおよびWindows(Cygwin)上で動作させる方法と、出力されるレポートを簡単に紹介する。