domingo, 24 de junio de 2012

Skipfish Web Application Security Scanner




Google, ha desarrollado una nueva herramienta gratuita para tratar de combatir los sitios que incluyen código malicioso, se trata de Skipfish, un escáner de seguridad para aplicaciones web. Esta aplicación está orientada a ser eficiente, veloz y con baja incidencia de falsos positivos. En los últimos meses, varias herramientas de seguridad web, han presentado falsos positivos. Skipfish, promete disminuir los falsos positivos a la mínima expresión, además es multiplataforma y bastante ligero. El funcionamiento de Skipfish es sumamente sencillo. Al estar activado, genera un mapa interactivo para la página web que queramos visitar; para realizar esto se apoya en un rastreo recursivo del sitio en internet y en un amplio diccionario basado en sondas. Luego, el mapa generado pasa por distintos controles de seguridad, para después, emitir un informe final, que permitirá realizar una evaluación del sitio web al que aspiramos ingresar, y detectar sus fallos de seguridad mucho antes que nos sorprendan a nosotros.

Skipfish, es una herramienta con la que se podrá visualizar rápidamente, si el sitio que se desea visitar es de bajo o alto riesgo. Además, cuenta con una amplia base de datos, que le permite ubicar vulnerabilidades conocidas para los controles de los baners, lo que hace que su informe de riesgo sea bastante completo.

Podemos encontrarla en: Aplicaciones - Backtrack - Vulnerability Assessment - Web Aplication Assessment - Web Vulnerability Scanners - Skipfish

Tambien podemos abrir la herramienta desde la consola:
root@bt:~# cd /pentest/web/skipfish
root@bt:/pentest/web/skipfish# ls
alloc-inl.h  config.h    database.h     Makefile  same_test.c  string-inl.h
analysis.c   COPYING     debug.h        o         sfscandiff   types.h
analysis.h   crawler.c   dictionaries   README    skipfish
assets       crawler.h   http_client.c  report.c  skipfish.1
ChangeLog    database.c  http_client.h  report.h  skipfish.c
root@bt:/pentest/web/skipfish# ./skipfish

Ahora tecleamos siguiente comando para empezar a scanear un sitio web:
root@bt:/pentest/web/skipfish# ./skipfish -o/pentest/web/skipfish/d -W dictionaries/complete.wl http://www.nasa.gov
La letra "d" en el comando es la carpeta que se creara con esa letra donde podemos ver los resultados del scan, tambien se puede usar cualquier letra y/o nombre; si queremos realizar otro scan solo cambiamos la letra & los resultados lo podemos ver en /pentest/web/skipfish/carpeta

Bueno, una vez ejecutado el comando para realizar el scan, nos saldra un aviso:

Podemos esperar los 60 segundos o tan solo presionamos enter & empezara el scan...

Empezado el scan, podemos apreciar todas las estadísticas:


Terminado el scan, ejecutaremos el siguiente comando para ver los resultados:
root@bt:/pentest/web/skipfish# firefox /pentest/web/skipfish/d/index.html
En este caso yo he cancelado el scan para realizar el tutorial; en si el scan puede tardar dependiendo de la velocidad de conexión.

Resultados:



Los resultados de este scan fue de 1 minuto & los resultados son muy positivos, si queremos tener un mejor resultado tenemos que esperar que el scan termine por su propia cuenta.

Informacion de la Herramienta:
http://code.google.com/p/skipfish/

Esto ha sido todo por ahora.

Saludos.


No hay comentarios:

Publicar un comentario en la entrada