March 23rd, 2010 
Thalles El nombre de la herramienta es Skipfish y esta escrito en C con una capacidad para procesar aproximadamente 2 mil HTTP requests por segundo sin elevar (mucho) el consumo de uso de CPU y de memoria en los servidores.
Tiene la capacidad de identificar varias vulnerabilidades como XSS, SQL, XML injection y esta alineado con el proyecto OWASP . Ahora les comento lo que para algunos podría ser una desventaja de este programita que a mi se me hizo muy bueno, solo corre en Linux (aun) para mi no es ningún problema pero … ya sabrán.
Otro detalle importante es que el reporte utiliza un lenguaje bastante técnico por lo que si se necesita un conocimiento básico sobre las vulnerabilidades mas comunes en los sitios web.
Para la raza que si tienen ese conocimiento considero que es una herramienta altamente recomendable, el día de ayer hice una prueba aquí en mi trabajo y el resultado fue bastante bueno. Realice un escaneo estándar que tomo aproximadamente 4 hrs y genero un trafico en el servidor de 1GB. Me agrado que es una herramienta liviana y no consumió muchos recursos en mi computadora. Ya esta contemplada para ser integrada en la metodología que seguimos para Pentests.
Ahora lo que interesa , para hacer uso de Skipfish tenemos que descargar el codigo fuente . Después hay que descomprimir el archivo, en Ubuntu fue muy sencillo ya que para cumplir con los requerimientos tuve que instalar los paquetes :
- libidn11-dev
- libssl-dev
Ambos están disponibles en los repositorios de Ubuntu. Después de instalarlos en el directorio donde descomprimimos los archivos ejecutamos un MAKE desde la terminal claro. Al terminar ya podremos realizar nuestro primer escaneo, les recomiendo leer el README ya que este archivo describe los parámetros necesarios para ejecutar los diferentes tipos de escaneo.
Queridos lectores ya saben esta herramienta la deben usar bajo su propia responsabilidad y con la autorización de los administradores de los sitios que desean probar.
Posted in 
Tags: 
[...] Skipfish un escáner de vulnerabilidades web de Google kushelmex.com/2010/03/skipfish-un-escaner-de-vulnerabilidade… por kushelmex hace 2 segundos [...]
Excelente hermano, la voy a probar a ver que tal, puede resultarme bastante útil
Si viejo para la raza de desarrollo web puede ser un muy buen feedback
saludos
Aunque no sabría como utilizarlo, parece muy buena herramienta…
Me encanta que Google siga aportando tanto con estos tipos de programas de código abierto…
No soy fanboy, pero a veces me acerco demasiado… XD
Saludos!!
Segun el anuncio de la herramienta no veo que sea de google, que el code este en code.google. es como si estuviera en sourceforge.net
Lean antes de lanzar notas a lo pendejo
de Michal Zalewski
para bugtraq@securityfocus.com,
full-disclosure@lists.grok.org.uk,
websecurity@webappsec.org
fecha 19 de marzo de 2010 11:51
asunto announcing skipfish, an automated web app security scanner
lista de distribución Filtrar los mensajes de esta lista de distribución
enviado por securityfocus.com
Anular suscripción Anular la suscripción a esta lista de distribución
ocultar detalles 19 mar (hace 5 días)
Hi folks,
I am happy to announce the availability of skipfish – our open-source,
fully automated, active web application scanner. There are several
things that probably make it interesting:
1) High speed: pure C code, highly optimized HTTP handling, minimal
CPU footprint – easily achieving 2000 requests per second with
responsive targets.
2) Ease of use: heuristics to support a variety of quirky web
frameworks and mixed-technology sites, with automatic learning
capabilities, on-the-fly wordlist creation, and form autocompletion.
3) Cutting-edge security logic: high quality, low false positive,
differential security checks, capable of spotting a range of subtle
flaws, including blind injection vectors.
To download, please go to:
http://code.google.com/p/skipfish
Read more:
http://code.google.com/p/skipfish/wiki/SkipfishDoc
Cheers,
Ya vi ya vi que si es de google xD en securityfocus no decian eso
retiro lo dicho
Descuida , gracias por tus comentarios!!
Saludos
[...] Skipfish, scanner de vulnerabilidades web de Google [...]
[...] Skipfish un escáner de vulnerabilidades web de Google [...]
[...] Más información: kushelmex.com,daboweb. [...]
Keep up the good work , I read few posts on this website and I conceive that your site is very interesting and contains lots of excellent info !
Very interesting points you have observed , regards for posting .