Google, ha desarrollado una nueva herramienta gratuita para tratar de combatir los sitios que incluyen código malicioso, se trata de Skipfish, un escáner de seguridad para aplicaciones web. Esta aplicación está orientada a ser eficiente, veloz y con baja incidencia de falsos positivos. En los últimos meses, varias herramientas de seguridad web, han presentado falsos positivos. Skipfish, promete disminuir los falsos positivos a la mínima expresión, además es multiplataforma y bastante ligero. El funcionamiento de Skipfish es sumamente sencillo. Al estar activado, genera un mapa interactivo para la página web que queramos visitar; para realizar esto se apoya en un rastreo recursivo del sitio en internet y en un amplio diccionario basado en sondas. Luego, el mapa generado pasa por distintos controles de seguridad, para después, emitir un informe final, que permitirá realizar una evaluación del sitio web al que aspiramos ingresar, y detectar sus fallos de seguridad mucho antes que nos sorprendan a nosotros.
Skipfish, es una herramienta con la que se podrá visualizar rápidamente, si el sitio que se desea visitar es de bajo o alto riesgo. Además, cuenta con una amplia base de datos, que le permite ubicar vulnerabilidades conocidas para los controles de los baners, lo que hace que su informe de riesgo sea bastante completo.
Podemos encontrarla en: Aplicaciones - Backtrack - Vulnerability Assessment - Web Aplication Assessment - Web Vulnerability Scanners - Skipfish
Tambien podemos abrir la herramienta desde la consola:
root@bt:~# cd /pentest/web/skipfish
root@bt:/pentest/web/skipfish# ls
alloc-inl.h config.h database.h Makefile same_test.c string-inl.h
analysis.c COPYING debug.h o sfscandiff types.h
analysis.h crawler.c dictionaries README skipfish
assets crawler.h http_client.c report.c skipfish.1
ChangeLog database.c http_client.h report.h skipfish.c
root@bt:/pentest/web/skipfish# ./skipfish
root@bt:/pentest/web/skipfish# ls
alloc-inl.h config.h database.h Makefile same_test.c string-inl.h
analysis.c COPYING debug.h o sfscandiff types.h
analysis.h crawler.c dictionaries README skipfish
assets crawler.h http_client.c report.c skipfish.1
ChangeLog database.c http_client.h report.h skipfish.c
root@bt:/pentest/web/skipfish# ./skipfish
Ahora tecleamos siguiente comando para empezar a scanear un sitio web:
root@bt:/pentest/web/skipfish# ./skipfish -o/pentest/web/skipfish/d -W dictionaries/complete.wl http://www.nasa.gov
La letra "d" en el comando es la carpeta que se creara con esa letra donde podemos ver los resultados del scan, tambien se puede usar cualquier letra y/o nombre; si queremos realizar otro scan solo cambiamos la letra & los resultados lo podemos ver en /pentest/web/skipfish/carpeta
La letra "d" en el comando es la carpeta que se creara con esa letra donde podemos ver los resultados del scan, tambien se puede usar cualquier letra y/o nombre; si queremos realizar otro scan solo cambiamos la letra & los resultados lo podemos ver en /pentest/web/skipfish/carpeta
Bueno, una vez ejecutado el comando para realizar el scan, nos saldra un aviso:
Empezado el scan, podemos apreciar todas las estadísticas:
Terminado el scan, ejecutaremos el siguiente comando para ver los resultados:
root@bt:/pentest/web/skipfish# firefox /pentest/web/skipfish/d/index.html
En este caso yo he cancelado el scan para realizar el tutorial; en si el scan puede tardar dependiendo de la velocidad de conexión.
Resultados:
Informacion de la Herramienta:
http://code.google.com/p/skipfish/
Resultados:
Los resultados de este scan fue de 1 minuto & los resultados son muy positivos, si queremos tener un mejor resultado tenemos que esperar que el scan termine por su propia cuenta.
Informacion de la Herramienta:
http://code.google.com/p/skipfish/