Skipfish, un escáner
de vulnerabilidades web de Google
Google ha lanzado una herramienta open source para realizar escaneos de vulnerabilidades en sitios web, puede ser de mucha utilidad de webmasters que necesitan mantener un nivel muy alto de seguridad en sus sitios y que necesiten realizar pruebas sobre los cambios que realizan. O también los profesionales que se dedican a la seguridad informática.
El nombre de la herramienta es Skipfish y esta escrito en C con una capacidad para procesar aproximadamente 2 mil HTTP requests por segundo sin elevar (mucho) el consumo de uso de CPU y de memoria en los servidores.
Tiene la capacidad de identificar varias vulnerabilidades como XSS, SQL, XML injection y esta alineado con el proyecto OWASP . Ahora les comento lo que para algunos podría ser una desventaja de este programita que a mi se me hizo muy bueno, solo corre en Linux (aun) para mi no es ningún problema pero … ya sabrán.
Otro detalle importante es que el reporte utiliza un lenguaje bastante técnico por lo que si se necesita un conocimiento básico sobre las vulnerabilidades mas comunes en los sitios web.
Para la raza que si tienen ese conocimiento considero que es una herramienta altamente recomendable, el día de ayer hice una prueba aquí en mi trabajo y el resultado fue bastante bueno. Realice un escaneo estándar que tomo aproximadamente 4 hrs y genero un trafico en el servidor de 1GB. Me agrado que es una herramienta liviana y no consumió muchos recursos en mi computadora. Ya esta contemplada para ser integrada en la metodología que seguimos para Pentests.
Ahora lo que interesa , para hacer uso de Skipfish tenemos que descargar el codigo fuente . Después hay que descomprimir el archivo, en Ubuntu fue muy sencillo ya que para cumplir con los requerimientos tuve que instalar los paquetes :
* libidn11-dev
* libssl-dev
Ambos están disponibles en los repositorios de Ubuntu. Después de instalarlos en el directorio donde descomprimimos los archivos ejecutamos un MAKE desde la terminal claro. Al terminar ya podremos realizar nuestro primer escaneo, les recomiendo leer el README ya que este archivo describe los parámetros necesarios para ejecutar los diferentes tipos de escaneo.
Ya saben esta herramienta la deben usar bajo su propia responsabilidad y con la autorización de los administradores de los sitios que desean probar.
de vulnerabilidades web de Google
Google ha lanzado una herramienta open source para realizar escaneos de vulnerabilidades en sitios web, puede ser de mucha utilidad de webmasters que necesitan mantener un nivel muy alto de seguridad en sus sitios y que necesiten realizar pruebas sobre los cambios que realizan. O también los profesionales que se dedican a la seguridad informática.
El nombre de la herramienta es Skipfish y esta escrito en C con una capacidad para procesar aproximadamente 2 mil HTTP requests por segundo sin elevar (mucho) el consumo de uso de CPU y de memoria en los servidores.
Tiene la capacidad de identificar varias vulnerabilidades como XSS, SQL, XML injection y esta alineado con el proyecto OWASP . Ahora les comento lo que para algunos podría ser una desventaja de este programita que a mi se me hizo muy bueno, solo corre en Linux (aun) para mi no es ningún problema pero … ya sabrán.
Otro detalle importante es que el reporte utiliza un lenguaje bastante técnico por lo que si se necesita un conocimiento básico sobre las vulnerabilidades mas comunes en los sitios web.
Para la raza que si tienen ese conocimiento considero que es una herramienta altamente recomendable, el día de ayer hice una prueba aquí en mi trabajo y el resultado fue bastante bueno. Realice un escaneo estándar que tomo aproximadamente 4 hrs y genero un trafico en el servidor de 1GB. Me agrado que es una herramienta liviana y no consumió muchos recursos en mi computadora. Ya esta contemplada para ser integrada en la metodología que seguimos para Pentests.
Ahora lo que interesa , para hacer uso de Skipfish tenemos que descargar el codigo fuente . Después hay que descomprimir el archivo, en Ubuntu fue muy sencillo ya que para cumplir con los requerimientos tuve que instalar los paquetes :
* libidn11-dev
* libssl-dev
Ambos están disponibles en los repositorios de Ubuntu. Después de instalarlos en el directorio donde descomprimimos los archivos ejecutamos un MAKE desde la terminal claro. Al terminar ya podremos realizar nuestro primer escaneo, les recomiendo leer el README ya que este archivo describe los parámetros necesarios para ejecutar los diferentes tipos de escaneo.
Ya saben esta herramienta la deben usar bajo su propia responsabilidad y con la autorización de los administradores de los sitios que desean probar.
FUENTE: http://kushelmex.com/2010/03/