Skipfish – Google Security Scanner

Stefan 23.03.2010 Internet, Programme Hinterlasse ein Kommentar

Googles Online-Security-Team hat einen freien Security-Scanner für Webanwendungen namens Skipfish veröffentlicht.

Das Kommandozeilentool betätigt sich als Crawler und erstellt eine interaktive Sitemap der besuchten Website. Diese Auflistung ergänzt Skipfish mit den Ergebnissen einiger Security-Tests, die die Webanwendung beispielsweise auf Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (XSRF) und SQL-Injection prüfen.

Auf welche Technologie die Webseite basiert ist ist dem Tool komplett egal.

Es bietet vielerlei Einstellmöglichkeiten, kann sich dadurch auch in Webanwendungen einloggen oder Brutforceattaken ausführen.

Ich habe selbstverständlich kurzerhand das Tool installiert und mein eigenen Blog unter die Lupe genommen.

Hier das Log:

Scan statistics
———————

Scan time : 0:09:47.0159
HTTP requests : 9622 sent (17.14/s), 22016.09 kB in, 3256.14 kB out (43.04 kB/s)
Compression : 15331.10 kB in, 41414.47 kB out (45.97% gain)
HTTP exceptions : 0 net errors, 0 proto errors, 0 retried, 0 drops
TCP connections : 101 total (128.93 req/conn)
TCP exceptions : 0 failures, 0 timeouts, 1 purged
External links : 805 skipped
Reqs pending : 3400

Database statistics
————————-

Pivots : 386 total, 5 done (1.30%)
In progress : 269 pending, 105 init, 4 attacks, 3 dict
Missing nodes : 0 spotted
Node types : 1 serv, 221 dir, 15 file, 0 pinfo, 93 unkn, 56 par, 0 val
Issues found : 30 info, 0 warn, 31 low, 38 medium, 0 high impact
Dict size : 2222 words (223 new), 73 extensions, 256 candidates

[!] Scan aborted by user, bailing out!
[+] Wordlist ’skipfish.wl‘ updated (223 new words added).
[+] Copying static resources…
[+] Sorting and annotating crawl nodes: 386
[+] Looking for duplicate entries: 386
[+] Counting unique issues: 384
[+] Writing scan description…
[+] Counting unique issues: 386
[+] Generating summary views…
[+] Report saved to ‚/opt/skipfish/report/index.html‘ [0x1b838758].
[+] This was a great day for science!

Dies war leider ein Fehler. Das Tool ist zu doof um Loop’s zu erkennen, somit scannt und scannt es ohne Unterbruch. Ich habe selbstverständlich irgendwann abgebrochen und die Einträge aus der Datenbank wieder entfernt.

Jedenfalls ein nettes Tool für schnelle Scans. Hoffentlich wird noch einiges verbessert, bevor es den Betastatus verlässt.

Das Tool gibt es hier als TAR Ball: http://code.google.com/p/skipfish/

Tags

About Stefan

Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf. Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

Windows 10 Autostart Ordner

Es gibt gewisse Programme, welche man am liebsten mit dem Systemstart ausführen möchte. Leider bieten …

Nginx, PHP-FPM und Let’s Encrypt per Docker-Compose aufsetzen

Um einen LAMDA Server einfach aufzusetzen, wie in meinem Fall auf Amazon EC2, geht es …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

Kontakt | Impressum | Datenschutz
© Copyright 2021, All Rights Reserved