Skipfish jest dość nowym narzędziem, które pomaga w automatycznym wyszukiwaniu potencjalnych luk na stronach internetowych. Autorem programu jest Michał Zalewski znany w sieci jako lcamtuf. Aplikacja została napisana w C i bardzo dobrze zoptymalizowana. Nie obciąża bardzo procesora nawet przy 2000 requestów na sekundę.
Darmowy skaner został stworzony aby współpracować z wieloma istniejącymi frameworkami aplikacji webowych. Skipfish do swojego działania wykorzystuje heurystykę. Automatycznie generuje różnego rodzaju słowniki, uzupełnia formularze na stronach internetowych oraz wykorzystuje różne metody ataków do sprawdzenia potencjalnych luk na stronie.
Lista testów jaką wykonuje aplikacja na danej stronie jest duża. Po zakończeniu skanowania, aplikacja generuje przejrzysty raport w formacie HTML.
Skipfish dostępny jest na takie środowiska jak Linux, FreeBSD 7.0+, MacOS X, oraz Windows (Cygwin). Po pobraniu źródeł aplikacji, należy ją samodzielnie skompilować. Do kompilacji potrzeba:
- GNU C Compiler
- GNU Make
- GNU C Library (włącznie z plikami nagłówkowymi)
- zlib (włącznie z plikami nagłówkowymi)
- OpenSSL (włącznie z plikami nagłówkowymi)
- libidn (włącznie z plikami nagłówkowymi)
Jeżeli kompilator nie odnajdzie plików nagłówkowych, należy je wskazać za pomocą opcji –I/path/to/inclue/files/
w zmiennej CFLAGS
oraz -L/path/to/libraries/
w LDFLAGS
. Po kompilacji można już uruchomić skaner i czekać na wyniki jakie wygeneruje:
./skipfish -o raport -W dictionaries/complete.wl http://192.168.0.2/portal/artykuly.php
Skipfish oferuje podobne funkcje jak aplikacje: Acunetix, Nikto (Wikto), Hailstorm, Sentinel, Net-Stalker czy Nessus.
Google stwierdza, że skaner nie jest jeszcze w pełni zgodny z regułami jakie określa Web Application Security Consortium (WASC) dla tego typu skanerów. Szczegółowe informacje dostępne są w KnownIssues oraz SkipfishDoc.
[…] This post was mentioned on Twitter by thecamels.org. thecamels.org said: News: Skipfish – skaner aplikacji webowych http://bit.ly/ba60Xc […]
[…] została wersja 2.00 beta skanera aplikacji webowych o nazwie Skipfish. Aplikacja ta wydawana jest na licencji Apache License 2.0 i została stworzona przez Michała […]