Google hat mit dem Skipfish Projekt ein Sicherheitstool veröffentlicht, mit dem Webanwendungen auf ihre Sicherheit – oder auch Sicherheitslücken untersucht werden können.

Das in C++ geschriebene  Programm unterstützt Windows, Apple Mac OS X und Linux als Betriebssysteme und – wie für Google üblich – wird die besonderes hohe Performance als Feature genannt. Im folgenden gehe ich kurz die Schritte durch, Skipfish unter Debian Linux zu betreiben.Es sollte  kein Produktivsystem mit Skipfish untersucht werden, da eine sehr hohe Anzahl von Requests stattfinden. Natürlich gilt insbesondere “Finger weg von fremden Systemen”, hier sind zivil- und strafrechtliche Konsequenzen zu erwarten.

  • aptitude install libidn11-dev libssl-dev libpcre3-dev
  • Skipfish herunter laden von Google Code: http://code.google.com/p/skipfish/
  • Auspacken, im Verzeichnis “make” eingeben

Wenn kein Fehler erscheint, ist das Produkt jetzt (fast) einsatzbereit. Andernfalls müssen ggfs. weitere Pakete heruntergeladen werden. Wir benötigen jetzt ein Konfigurationsset und wählen im Test das Komplettpaket:

cp dictionaries/complete.wl ./skipfish.wl

Sollte es zu dieser Fehlermeldung kommen:

src/signatures.c:27:18: error: pcre.h: Datei oder Verzeichnis nicht gefunden

Wenn die Datei „pcre.h“ nicht gefunden wird. Schaut man z.B. auf p.d.o, so findet man: http://packages.debian.org/search?searchon=contents&keywords=pcre.h&mode=path&suite=stable&arch=any

Anleitung fürs Scannen findet ihr hier.

https://code.google.com/p/skipfish/wiki/SkipfishDoc#How_to_run_the_scanner?

./skipfish -o output_dir -S skipfish.wl -W new_dict.wl   http://www.site.com/some/starting/path.txt

./skipfish -o output_dir http://www.example.de

Nach dem Scannen , das einige Zeit in Anspruch nehmen kann findet ihr unter  output_dir/index.html das Resultat

 Report saved to ‚output_dir/index.html‘

 

         Pivots : 299 total, 14 done (4.68%)
In progress : 238 pending, 36 init, 10 attacks, 1 dict
Missing nodes : 9 spotted
Node types : 2 serv, 164 dir, 24 file, 1 pinfo, 53 unkn, 56 par, 0 val
Issues found : 35 info, 29 warn, 52 low, 49 medium, 0 high impact
Dict size : 2284 words (113 new), 39 extensions, 256 candidates
Signatures : 75 total

 

Skipfish ist ein sehr spezielles Werkzeug, das etwas in die Domäne der Schwachstellenscanner Nessus und OpenVAS vordringt. Für Webentwickler sicherlich einen Blick wert!

https://code.google.com/p/skipfish/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.