ratproxyの実体は、手元のWebブラウザと試験対象のアプリケーションとの間に介在する形で動作するローカルプログラムである。その動作原理は、アプリケーションから出されるリクエストと返されるレスポンスを追跡し、それを基に独自に変換したトランザクションを適用することで、一般的な攻撃に対して当該アプリケーションがどのような反応をするかを検証するというシステムになっている。例えばローレベルテストでは、下記のものを含めた包括的な試験が実施される。

• 潜在的な危険性を有すJSON風のレスポンス
• 秘匿性の高いコンテンツに対して有害なキャッシングヘッダ
• 疑わしいクロスドメインの信頼関係
• 不充分なXSRF対策に関係するクエリ
• 疑惑ないし確証のあるXSSおよびデータ注入ベクタ

　その他にも多数の試験が実施されるが、そのすべてはパッケージに同梱されたmessages.listに一覧されるようになっている。

このiGoogle試験に関するセキュリティレポートを見ると、脅威度の高い問題が3件と、中程度の問題点が数件指摘されていた。なお今回の試験結果については、ratproxyでは提供企業の関連サイトであっても手心を加えない包括的な解析が実行されることに満足できたので、レポートの報告内容の解析も、各問題点の実際の脅威度も検討していない。

高度に複雑化した最近のWebアプリケーションに対してセキュリティ試験を施すのは簡単な話ではない。しかしながらratproxyを利用すれば最小限の手間と時間でそうした試験が実施でき、操作に必要な情報も分かりやすいドキュメントにまとめられている上、そこにはアプリケーションの安全度判定に役立つ各種Web監査ツールへのリンクも紹介されているのだ。これは私の個人的評価であるが、ratproxyは操作性に優れ安定して動作する有用なツールと評していいだろう。