2008年7月,米グーグルは同社が開発したWebアプリケーションのぜい弱性検出ツール「ratproxy」をオープンソースとして公開した。検索サイト最大手の同社は,攻撃を受けることも多い。Google Appsをはじめ,代表的なWeb 2.0系アプリケーション開発の先駆者でもある同社が開発したツールの威力はどれほどのものか。ぜい弱性検査の専門家が探った。 “受動的”な検出ツール,Web 2.0系のぜい弱性に強み 検出できるぜい弱性は42種類,SQLインジェクションは苦手 Content-TypeなどでXSSの危険度をチェック JavaScriptスクリプトに潜むXSSのぜい弱性も検出 JavaScript Hijack/JSON Hijackのぜい弱性
![Googleが作ったWebセキュリティ・ツール「ratproxy」](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)