剖析短迭代
敏捷教练Dave Nicolette提出:我们应该如何设定迭代长度?是要根据发布周期的时间么?使用短迭代又有哪些好处?
新闻
Google发布开源Web应用安全审核工具
作者 Gavin Terrill译者 韩锴 发布于 2008年7月8日 下午10时55分
Google宣布将它的一款内部安全工具“ratproxy”开放源代码。Ratproxy用于被动地审核Web应用的安全性:
Ratproxy可以分析很多问题,比如存在威胁的跨站脚本包含、对伪造的跨站请求防范不足、缓存问题,潜在的XSS、可能不安全的跨站代码包含策略、信息泄露,不一而足。
作为一款被动工具,Ratproxy会监视浏览器与Web应用之间的交互。其文档中宣称,这样的工作方式使它比传统方法具备以下优势:
- 不会破坏现有Web应用
- 低投入,高产出
- 可以保留用户与Web应用交互的控制流
- 在脚本行为中的WYSIWYG(所见即所得)数据
- 简化了过程整合
与其他安全审核工具相比(如WebScarab、Paros、Burp、ProxMon和Pantera),Ratproxy的创建者Michal Zalewski说:
Ratproxy明确地关注当代Web 2.0应用中优先级最高的问题,为它们提供简明的报告,给予用户充分的自由,以可重复的方式来完成这些工作。用户不会再被大量原始的HTTP流量数据淹没,而且这个工具远不仅仅是一个人工干预应用程序的框架。
Ratproxy (1.50 beta) (164 Kb)可用于Linux、FreeBSD、MacOS X和Windows(Cygwin)环境。
查看英文原文:Google Releases Open Source Web Application Security Assessment Tool
.gif)
没有回复
回复