2. ¿Qué es Skipfish?
● Un sistema automático para escanear vulnerabilidades en
sitios web.
● Es rápido: Puede hacer 500+ requests por segundo a
sitios web, 2000+ en sitios dentro de tu lan/wan y 7000+
requests en máquinas locales.
● Fácil de usar: usa heuristicas para reconocer patterns que
uno pueda atacar, genera diccionarios automáticos –
aprende--, analisis probabilistico para pegarle en varios
lados en sitios complejos.
● Analisis varios de seguridad.
3. Más detalles...
● Skipfish aplica diversas heuristicas para poder
identificar problemas comunes como:
● SQL Injection
● XML/XPath injection
● HTTP PUT
● Sintaxis sql en post/get.
● Integer overflow...
4. Etica
● Skipfish es una herramienta de gran poder.
● Con un gran poder, viene una gran
responsabilidad: usa skipfish unicamente para
tus propios sitios web para hacer analisis de
seguridad.
● Ten cuidado en no aplicar eso en un servidor de
producción, podría literalmente tirarlo.
● De nuevo: solo usa esta herramienta en tus
propios sitios
5. Para probarlo...
● Baja el último código desde:
http://code.google.com/p/skipfish
● Desempaqueta:
● tar xzvf skipfish-1.55b.tgz
● cd skipfish-1.55b
● Make
● Listo!
6. Ejecutando el programa
● Para correr el programa:
./skipfish -o output http://www.example.com
● Y a esperar.
● Veamos una prueba...
7. Recomendaciones
● Es importante que en cualquier sitio web que
creen, revisen al menos con una herramienta
como esta la seguridad de su sitio: tal vez
apuntara a cosas obvias que podrian ser
facilmente arreglables.
● Compartan estas ideas básicas con sus
colegas desarrolladores: ellos lo agradeceran.
Especialmente si se trata de un sitio bastante
expuesto.