Über den Author / Internet / Skipfish – Google Security Scanner

Skipfish – Google Security Scanner

Stefan 23.03.2010 Internet, Programme Hinterlasse ein Kommentar

~1 Min. Lesezeit

Googles Online-Security-Team hat einen freien Security-Scanner für Webanwendungen namens Skipfish veröffentlicht.

Das Kommandozeilentool betätigt sich als Crawler und erstellt eine interaktive Sitemap der besuchten Website. Diese Auflistung ergänzt Skipfish mit den Ergebnissen einiger Security-Tests, die die Webanwendung beispielsweise auf Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (XSRF) und SQL-Injection prüfen.

Auf welche Technologie die Webseite basiert ist ist dem Tool komplett egal.

Es bietet vielerlei Einstellmöglichkeiten, kann sich dadurch auch in Webanwendungen einloggen oder Brutforceattaken ausführen.

Ich habe selbstverständlich kurzerhand das Tool installiert und mein eigenen Blog unter die Lupe genommen.

Hier das Log:

Scan statistics
———————

Scan time : 0:09:47.0159
HTTP requests : 9622 sent (17.14/s), 22016.09 kB in, 3256.14 kB out (43.04 kB/s)
Compression : 15331.10 kB in, 41414.47 kB out (45.97% gain)
HTTP exceptions : 0 net errors, 0 proto errors, 0 retried, 0 drops
TCP connections : 101 total (128.93 req/conn)
TCP exceptions : 0 failures, 0 timeouts, 1 purged
External links : 805 skipped
Reqs pending : 3400

Database statistics
————————-

Pivots : 386 total, 5 done (1.30%)
In progress : 269 pending, 105 init, 4 attacks, 3 dict
Missing nodes : 0 spotted
Node types : 1 serv, 221 dir, 15 file, 0 pinfo, 93 unkn, 56 par, 0 val
Issues found : 30 info, 0 warn, 31 low, 38 medium, 0 high impact
Dict size : 2222 words (223 new), 73 extensions, 256 candidates

[!] Scan aborted by user, bailing out!
[+] Wordlist ’skipfish.wl‘ updated (223 new words added).
[+] Copying static resources…
[+] Sorting and annotating crawl nodes: 386
[+] Looking for duplicate entries: 386
[+] Counting unique issues: 384
[+] Writing scan description…
[+] Counting unique issues: 386
[+] Generating summary views…
[+] Report saved to ‚/opt/skipfish/report/index.html‘ [0x1b838758].
[+] This was a great day for science!

Dies war leider ein Fehler. Das Tool ist zu doof um Loop’s zu erkennen, somit scannt und scannt es ohne Unterbruch. Ich habe selbstverständlich irgendwann abgebrochen und die Einträge aus der Datenbank wieder entfernt.

Jedenfalls ein nettes Tool für schnelle Scans. Hoffentlich wird noch einiges verbessert, bevor es den Betastatus verlässt.

Das Tool gibt es hier als TAR Ball: http://code.google.com/p/skipfish/

Tags

About Stefan

Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf. Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

Hibernate und Sleep nach Windows Update verschwunden

~0 Min. LesezeitWindows hats mal wieder gemacht, ein grosses Update, was viele Voreinstellungen einfach wieder …

WordPress Domain Suchen und ersetzen

~0 Min. Lesezeit Es gibt diverse Plugins für WordPress, welche die Datenbank durchsuchen und Domain Vorkommnisse ersetzen. Doch was, wenn das WordPress bereits nicht mehr aufrufbar ist, da eine Umstellung schief ging? Dazu sind Plugins nicht brauchbar. Aus diesem Grund stelle ich meine Domains, mit einem kleinen PHP Skript um, was ich hier vorstelle. Das Skript durchsucht nicht die komplette Datenbank, was viel zu aufwändig …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

Kontakt | Impressum | Datenschutz
© Copyright 2019, All Rights Reserved