~1 Min. Lesezeit
Googles Online-Security-Team hat einen freien Security-Scanner für Webanwendungen namens Skipfish veröffentlicht.
Das Kommandozeilentool betätigt sich als Crawler und erstellt eine interaktive Sitemap der besuchten Website. Diese Auflistung ergänzt Skipfish mit den Ergebnissen einiger Security-Tests, die die Webanwendung beispielsweise auf Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (XSRF) und SQL-Injection prüfen.
Auf welche Technologie die Webseite basiert ist ist dem Tool komplett egal.
Es bietet vielerlei Einstellmöglichkeiten, kann sich dadurch auch in Webanwendungen einloggen oder Brutforceattaken ausführen.
Ich habe selbstverständlich kurzerhand das Tool installiert und mein eigenen Blog unter die Lupe genommen.
Hier das Log:
Scan statistics
———————Scan time : 0:09:47.0159
HTTP requests : 9622 sent (17.14/s), 22016.09 kB in, 3256.14 kB out (43.04 kB/s)
Compression : 15331.10 kB in, 41414.47 kB out (45.97% gain)
HTTP exceptions : 0 net errors, 0 proto errors, 0 retried, 0 drops
TCP connections : 101 total (128.93 req/conn)
TCP exceptions : 0 failures, 0 timeouts, 1 purged
External links : 805 skipped
Reqs pending : 3400Database statistics
————————-Pivots : 386 total, 5 done (1.30%)
[!] Scan aborted by user, bailing out!
In progress : 269 pending, 105 init, 4 attacks, 3 dict
Missing nodes : 0 spotted
Node types : 1 serv, 221 dir, 15 file, 0 pinfo, 93 unkn, 56 par, 0 val
Issues found : 30 info, 0 warn, 31 low, 38 medium, 0 high impact
Dict size : 2222 words (223 new), 73 extensions, 256 candidates
[+] Wordlist ’skipfish.wl‘ updated (223 new words added).
[+] Copying static resources…
[+] Sorting and annotating crawl nodes: 386
[+] Looking for duplicate entries: 386
[+] Counting unique issues: 384
[+] Writing scan description…
[+] Counting unique issues: 386
[+] Generating summary views…
[+] Report saved to ‚/opt/skipfish/report/index.html‘ [0x1b838758].
[+] This was a great day for science!
Dies war leider ein Fehler. Das Tool ist zu doof um Loop’s zu erkennen, somit scannt und scannt es ohne Unterbruch. Ich habe selbstverständlich irgendwann abgebrochen und die Einträge aus der Datenbank wieder entfernt.
Jedenfalls ein nettes Tool für schnelle Scans. Hoffentlich wird noch einiges verbessert, bevor es den Betastatus verlässt.
Das Tool gibt es hier als TAR Ball: http://code.google.com/p/skipfish/