Skipfish és un scanner de vulnerabilitats en aplicacions web de Google.És força ràpid (prop de 2000 peticions per segon a una LAN) i exhaustiu, li farem un seguiment sobretot per la senzillesa a l'hora d'executar-ho.
Per a instal·lar-ho a Ubuntu, cal descarregar el programa des del Google Code SkipFish i descomprimir-ho.
Prèviament necessitarem tenir instal·lades algunes llibreries, farem:
sudo apt-get install apt-get install libssl-dev zlibc zlib-bin libidn11-dev libidn11I iniciarem la compilació de l'aplicació amb un senzill
makeCopiem el diccionari a emprar, com que estem fent proves ho fem amb el complete :-)
cp dictionaries/complete.wl ./skipfish.wl
I procedim a fer el test de seguretat./skipfish -o ../test.skipfish http://url.projecte.devAmb l'opció C podem indicar una cookie que contingui l'ID de sessió. És a dir que podem loginejar-nos normalment i un cop autentificats, executar l'scanner.
És important que les primeres proves les fem en entorns de desenvolupament local i desconnectem els logs del servidor web, no sigui cas que iniciem un auto atac DoS!
Una revisió complerta d'un web relativament petit, en xarxa local amb infraestructura a Gigabit, ha trigat més de 12 hores.
Una curiositat: per temes de seguretat el resultat no es visualitza correctament amb el Chromium i sí amb el Firefox si s'executa directament desde file://. Per a visualitzar-ho desde Safari o Chrome cal posar el resultat en una carpeta gestionada per un servidor web.
