Skipfish – skaner aplikacji webowych

Skipfish – skaner aplikacji webowych

    przez -
    2 1474
    Skipfish
    Skipfish jest dość nowym narzędziem, które pomaga w automatycznym wyszukiwaniu potencjalnych luk na stronach internetowych. Autorem programu jest Michał Zalewski znany w sieci jako lcamtuf. Aplikacja została napisana w C i bardzo dobrze zoptymalizowana. Nie obciąża bardzo procesora nawet przy 2000 requestów na sekundę.

    Skipfish

    Darmowy skaner został stworzony aby współpracować z wieloma istniejącymi frameworkami aplikacji webowych. Skipfish do swojego działania wykorzystuje heurystykę. Automatycznie generuje różnego rodzaju słowniki, uzupełnia formularze na stronach internetowych oraz wykorzystuje różne metody ataków do sprawdzenia potencjalnych luk na stronie.

    Lista testów jaką wykonuje aplikacja na danej stronie jest duża. Po zakończeniu skanowania, aplikacja generuje przejrzysty raport w formacie HTML.

    Skipfish - Raport

    Skipfish dostępny jest na takie środowiska jak Linux, FreeBSD 7.0+, MacOS X, oraz Windows (Cygwin). Po pobraniu źródeł aplikacji, należy ją samodzielnie skompilować. Do kompilacji potrzeba:

    Jeżeli kompilator nie odnajdzie plików nagłówkowych, należy je wskazać za pomocą opcji –I/path/to/inclue/files/ w zmiennej CFLAGS oraz -L/path/to/libraries/ w LDFLAGS. Po kompilacji można już uruchomić skaner i czekać na wyniki jakie wygeneruje:

    ./skipfish -o raport -W dictionaries/complete.wl http://192.168.0.2/portal/artykuly.php

    Skipfish oferuje podobne funkcje jak aplikacje: Acunetix, Nikto (Wikto), Hailstorm, Sentinel, Net-Stalker czy Nessus.

    Google stwierdza, że skaner nie jest jeszcze w pełni zgodny z regułami jakie określa Web Application Security Consortium (WASC) dla tego typu skanerów. Szczegółowe informacje dostępne są w KnownIssues oraz SkipfishDoc.

    Podobne artykuły

    Skipfish

    przez -
    2 234