Tags Posts tagged with "skipfish"

skipfish

przez -
2 317
Skipfish

Wydana została wersja 2.00 beta skanera aplikacji webowych o nazwie Skipfish. Aplikacja ta wydawana jest na licencji Apache License 2.0 i została stworzona przez Michała Zalewskiego znanego w sieci jako lcamtuf. Aplikacja pomaga w automatycznym szukaniu potencjalnych luk bezpieczeństwa na stronach internetowych.

Całość została napisana w języku C, dzięki czemu aplikacja jest bardzo wydajna i nie obciąża procesora nawet przy 2000 req/s.

W najnowszym wydaniu usprawniono detekcję błędów PHP. Pojawiła się lepsza obsługa słów dla słownika z pliku file.ext. Poprawiona została funkcja content_checks().

Darmowy skaner został stworzony aby współpracować z wieloma istniejącymi frameworkami aplikacji webowych. Skipfish do swojego działania wykorzystuje heurystykę. Automatycznie generuje różnego rodzaju słowniki, uzupełnia formularze na stronach internetowych oraz wykorzystuje różne metody ataków do sprawdzenia potencjalnych luk na stronie.

przez -
2 2021
Skipfish

Skipfish jest dość nowym narzędziem, które pomaga w automatycznym wyszukiwaniu potencjalnych luk na stronach internetowych. Autorem programu jest Michał Zalewski znany w sieci jako lcamtuf. Aplikacja została napisana w C i bardzo dobrze zoptymalizowana. Nie obciąża bardzo procesora nawet przy 2000 requestów na sekundę.

Skipfish

Darmowy skaner został stworzony aby współpracować z wieloma istniejącymi frameworkami aplikacji webowych. Skipfish do swojego działania wykorzystuje heurystykę. Automatycznie generuje różnego rodzaju słowniki, uzupełnia formularze na stronach internetowych oraz wykorzystuje różne metody ataków do sprawdzenia potencjalnych luk na stronie.

Lista testów jaką wykonuje aplikacja na danej stronie jest duża. Po zakończeniu skanowania, aplikacja generuje przejrzysty raport w formacie HTML.

Skipfish - Raport

Skipfish dostępny jest na takie środowiska jak Linux, FreeBSD 7.0+, MacOS X, oraz Windows (Cygwin). Po pobraniu źródeł aplikacji, należy ją samodzielnie skompilować. Do kompilacji potrzeba:

Jeżeli kompilator nie odnajdzie plików nagłówkowych, należy je wskazać za pomocą opcji –I/path/to/inclue/files/ w zmiennej CFLAGS oraz -L/path/to/libraries/ w LDFLAGS. Po kompilacji można już uruchomić skaner i czekać na wyniki jakie wygeneruje:

./skipfish -o raport -W dictionaries/complete.wl http://192.168.0.2/portal/artykuly.php

Skipfish oferuje podobne funkcje jak aplikacje: Acunetix, Nikto (Wikto), Hailstorm, Sentinel, Net-Stalker czy Nessus.

Google stwierdza, że skaner nie jest jeszcze w pełni zgodny z regułami jakie określa Web Application Security Consortium (WASC) dla tego typu skanerów. Szczegółowe informacje dostępne są w KnownIssues oraz SkipfishDoc.

Polecane

Prasa, Czasopismo

1 824
Ukazało się Linux Magazine – numer 161. Lipcowe wydanie magazynu zawiera analizę tworzenia bardziej czytelnych wyrażeń regularnych z Simple Regex Language, instrukcje zabezpieczania i...