<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<style>
<!--
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;}
p
        {mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman";}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:Arial;
        color:windowtext;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>Google
developed a Web page vulnerability sniffer application for its own internal
use, and called it <a href="http://code.google.com/p/ratproxy/">RatProxy</a>.
It is described as:<o:p></o:p></span></font></p>

<p><i><font size=3 face="Times New Roman"><span style='font-size:12.0pt;
font-style:italic'>A semi-automated, largely passive web application security
audit tool, optimized for an accurate and sensitive detection, and automatic
annotation, of potential problems and security-relevant design patterns based
on the observation of existing, user-initiated traffic in complex web 2.0
environments.<o:p></o:p></span></font></i></p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>It is
capable of detecting unsecured data channels, cross-site scripting flaws, and
high-risk code that references data from outside domains. It even prioritizes
detected issues for you. It supports FreeBSD, Linux-based, and MacOS X
environments, and even the MS Windows Unix-emulation environment, Cygwin,
according to the information on the RatProxy homepage at Google Code.<o:p></o:p></span></font></p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>As of
this month, RatProxy is publicly available under the terms of the <a
href="http://www.apache.org/licenses/LICENSE-2.0">Apache License 2.0</a>, a <a
href="http://copyfree.org/">Copyfree</a>, <a
href="http://www.gnu.org/philosophy/license-list.html">Free Software</a>, and <a
href="http://www.opensource.org/licenses/category">Open Source</a> license.
Yes, RatProxy is now open source software, by every major definition.<o:p></o:p></span></font></p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>Google&#8217;s
hope seems to be that Web developers will use the tool to help secure their
sites, in particular when using increasingly popular cross-site content
aggregation Website design techniques. As a sample test results <a
href="http://ratproxy.googlecode.com/files/ratproxy-screen.png">screenshot</a>
demonstrates, RatProxy output is well-organized and full of helpful
information. It&#8217;s a tool I will personally use in the future.<o:p></o:p></span></font></p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>You can
download it directly from the RatProxy project homepage as a source tarball,
and as a Google Code project you can even get an <a
href="http://code.google.com/p/ratproxy/source/checkout">svn checkout</a> if
you like.<o:p></o:p></span></font></p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>RatProxy
is far from the only such tool in existence &#8212; it is not a new idea. In
fact, the fairly comprehensive <a
href="http://code.google.com/p/ratproxy/wiki/RatproxyDoc">wiki documentation
for RatProxy</a> lists a few alternative tools, in case you&#8217;re interested
in trying out the &#8220;competition&#8221;. The documentation also makes a
good case for why RatProxy isn&#8217;t just redundant and ignorable, however.
Being an open source tool, and one developed for in-house use by a very high
profile Web application service provider with an excellent security reputation,
RatProxy is sure to remain quite relevant and useful for some time to come.<o:p></o:p></span></font></p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>Of
course, such tools are just a way to make things a little easier. They tend to
be useful only for identifying very limited selections of vulnerabilities, and
should not be considered a magic wand for discovering and fixing software
vulnerabilities. Use a tool like RatProxy, by all means, but when you&#8217;re
done with it and have fixed all the identified vulnerabilities, you should
still go over the Website source with a fine-toothed comb.<o:p></o:p></span></font></p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>There is
no substitute for diligence and intelligent analysis.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'>Source: <a
href="http://blogs.techrepublic.com.com/security/?p=491&amp;tag=nl.e011">http://blogs.techrepublic.com.com/security/?p=491&amp;tag=nl.e011</a><o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>

</div>

</body>

</html>