Skipfish un escáner de vulnerabilidades web de Google

March 23rd, 2010

Thalles

Google ha lanzado una herramienta open source para realizar escaneos de vulnerabilidades en sitios web, puede ser de mucha utilidad de webmasters que necesitan mantener un nivel muy alto de seguridad en sus sitios y que necesiten realizar pruebas sobre los cambios que realizan. O también los profesionales que se dedican a la seguridad informática.

El nombre de la herramienta es Skipfish y esta escrito en C con una capacidad para procesar aproximadamente 2 mil HTTP requests por segundo sin elevar (mucho) el consumo de uso de CPU y de memoria en los servidores.

Tiene la capacidad de identificar varias vulnerabilidades como XSS, SQL, XML injection y esta alineado con el proyecto OWASP . Ahora les comento lo que para algunos podría ser una desventaja de este programita que a mi se me hizo muy bueno, solo corre en Linux (aun) para mi no es ningún problema pero … ya sabrán.

Otro detalle importante es que el reporte utiliza un lenguaje bastante técnico por lo que si se necesita un conocimiento básico sobre las vulnerabilidades mas comunes en los sitios web.

Para la raza que si tienen ese conocimiento considero que es una herramienta altamente recomendable, el día de ayer hice una prueba aquí en mi trabajo y el resultado fue bastante bueno. Realice un escaneo estándar que tomo aproximadamente 4 hrs y genero un trafico en el servidor de 1GB. Me agrado que es una herramienta liviana y no consumió muchos recursos en mi computadora. Ya esta contemplada para ser integrada en la metodología que seguimos para Pentests.

Ahora lo que interesa , para hacer uso de Skipfish tenemos que descargar el codigo fuente . Después hay que descomprimir el archivo, en Ubuntu fue muy sencillo ya que para cumplir con los requerimientos tuve que instalar los paquetes :

libidn11-dev
libssl-dev

Ambos están disponibles en los repositorios de Ubuntu. Después de instalarlos en el directorio donde descomprimimos los archivos ejecutamos un MAKE desde la terminal claro. Al terminar ya podremos realizar nuestro primer escaneo, les recomiendo leer el README ya que este archivo describe los parámetros necesarios para ejecutar los diferentes tipos de escaneo.

Queridos lectores ya saben esta herramienta la deben usar bajo su propia responsabilidad y con la autorización de los administradores de los sitios que desean probar.

Anuncio Oficial

Posted in Linux, Open Source, seguridad, software

Tags: escaner, google, libre, Open Source, vulnerabilidad, web

You can leave a response, or trackback from your own site.

12 Responses to “Skipfish un escáner de vulnerabilidades web de Google”

Skipfish un escáner de vulnerabilidades web de Google says:

March 23, 2010 at 1:18 pm

[...] Skipfish un escáner de vulnerabilidades web de Google kushelmex.com/2010/03/skipfish-un-escaner-de-vulnerabilidade… por kushelmex hace 2 segundos [...]
Daniel says:

March 23, 2010 at 3:59 pm

Excelente hermano, la voy a probar a ver que tal, puede resultarme bastante útil
Thalles says:

March 23, 2010 at 4:18 pm

Si viejo para la raza de desarrollo web puede ser un muy buen feedback

saludos
memiliano says:

March 23, 2010 at 10:38 pm

Aunque no sabría como utilizarlo, parece muy buena herramienta…
Me encanta que Google siga aportando tanto con estos tipos de programas de código abierto…
No soy fanboy, pero a veces me acerco demasiado… XD
Saludos!!
Roa says:

March 24, 2010 at 10:19 am

Segun el anuncio de la herramienta no veo que sea de google, que el code este en code.google. es como si estuviera en sourceforge.net
Lean antes de lanzar notas a lo pendejo

de Michal Zalewski
para bugtraq@securityfocus.com,
full-disclosure@lists.grok.org.uk,
websecurity@webappsec.org
fecha 19 de marzo de 2010 11:51
asunto announcing skipfish, an automated web app security scanner
lista de distribución Filtrar los mensajes de esta lista de distribución
enviado por securityfocus.com
Anular suscripción Anular la suscripción a esta lista de distribución

ocultar detalles 19 mar (hace 5 días)

Hi folks,

I am happy to announce the availability of skipfish – our open-source,
fully automated, active web application scanner. There are several
things that probably make it interesting:

1) High speed: pure C code, highly optimized HTTP handling, minimal
CPU footprint – easily achieving 2000 requests per second with
responsive targets.

2) Ease of use: heuristics to support a variety of quirky web
frameworks and mixed-technology sites, with automatic learning
capabilities, on-the-fly wordlist creation, and form autocompletion.

3) Cutting-edge security logic: high quality, low false positive,
differential security checks, capable of spotting a range of subtle
flaws, including blind injection vectors.

To download, please go to:
http://code.google.com/p/skipfish

Read more:
http://code.google.com/p/skipfish/wiki/SkipfishDoc

Cheers,
Roa says:

March 24, 2010 at 10:28 am

Ya vi ya vi que si es de google xD en securityfocus no decian eso retiro lo dicho
Thalles says:

March 24, 2010 at 10:41 am

Descuida , gracias por tus comentarios!!

Saludos
www.danitxu.com » Techfreedom Berriak 20100322+7 says:

March 28, 2010 at 4:02 pm

[...] Skipfish, scanner de vulnerabilidades web de Google [...]
Lo mas popular de Marzo en Kushelmex.com | Kushelmex.com says:

April 1, 2010 at 8:55 pm

[...] Skipfish un escáner de vulnerabilidades web de Google [...]
Skipfish: Descarga el nuevo escáner web de google para GNU/Linux :Luctus says:

June 19, 2010 at 6:11 pm

[...] Más información: kushelmex.com,daboweb. [...]
Palmira says:

April 1, 2011 at 3:31 am

Keep up the good work , I read few posts on this website and I conceive that your site is very interesting and contains lots of excellent info !
Devon Powless says:

April 15, 2011 at 1:41 am

Very interesting points you have observed , regards for posting .