skipfish

Skipfishmauropm@gmail.com

¿Qué es Skipfish?

● Un sistema automático para escanear vulnerabilidades en sitios web.

● Es rápido: Puede hacer 500+ requests por segundo a sitios web, 2000+ en sitios dentro de tu lan/wan y 7000+ requests en máquinas locales.

● Fácil de usar: usa heuristicas para reconocer patterns que uno pueda atacar, genera diccionarios automáticos –aprende--, analisis probabilistico para pegarle en varios lados en sitios complejos.

● Analisis varios de seguridad.

Más detalles...

● Skipfish aplica diversas heuristicas para poder identificar problemas comunes como:● SQL Injection● XML/XPath injection● HTTP PUT● Sintaxis sql en post/get. ● Integer overflow...

Etica

● Skipfish es una herramienta de gran poder. ● Con un gran poder, viene una gran

responsabilidad: usa skipfish unicamente para tus propios sitios web para hacer analisis de seguridad.

● Ten cuidado en no aplicar eso en un servidor de producción, podría literalmente tirarlo.

● De nuevo: solo usa esta herramienta en tus propios sitios

Para probarlo...

● Baja el último código desde: http://code.google.com/p/skipfish

● Desempaqueta:● tar xzvf skipfish-1.55b.tgz● cd skipfish-1.55b● Make● Listo!

Ejecutando el programa

● Para correr el programa:

./skipfish -o output http://www.example.com● Y a esperar.● Veamos una prueba...

Recomendaciones

● Es importante que en cualquier sitio web que creen, revisen al menos con una herramienta como esta la seguridad de su sitio: tal vez apuntara a cosas obvias que podrian ser facilmente arreglables.

● Compartan estas ideas básicas con sus colegas desarrolladores: ellos lo agradeceran. Especialmente si se trata de un sitio bastante expuesto.

● Skipfish - http://code.google.com/p/skipfish● Docs skipfish -

http://code.google.com/p/skipfish/wiki/SkipfishDoc

● Presentación - http://www.slideshare.net/mauropm

● Preguntas o comentarios -

mauropm@gmail.com

Ligas