Skipfish un scanner de vulnérabilités Web Open Source créé par Michal Zalewski.

Cet outil fonctionne en ligne de commande et propose différentes fonctionnalités intéressantes :

- Scan rapide : écrit en C et optimisé pour le protocole HTTP. Il est capable d’effectuer 2000 requêtes par seconde dans un environnement local et 500 requêtes par seconde sur Internet.
- Approche de type heuristique.
- Apprentissage et sauvegarde des failles découvertes afin de les réutiliser lors d’un futur scan.
- Génère un rapport détaillé en html et ce même en ayant arrêté le scan.

Téléchargement

#wget http://skipfish.googlecode.com/files/skipfish-1.26b.tgz
# tar zxvf skipfish-1.26b.tgz

Installation

#apt-get install libidn11-dev
#apt-get install libssl-dev
#cd skipfish
#make

Utilisation

Il est nécessaire de copier et renommer le fichier dictionnaire à utiliser (minimal, default, complete, etc.) dans le répertoire skipfish.

Regardons un exemple avec le dictionnaire default :

#cp dictionaries/default.wl skipfish.wl

Scan du site www.lestutosdenico.com et sauvegarde du rapport dans le dossier scan :

#./skipfish -o /home/user/scan http://www.lestutosdenico.com

Voici l’exemple du rapport généré :

Site officiel de l’outil  : http://code.google.com/p/skipfish/
Lien vers la documentation officielle : http://code.google.com/p/skipfish/wiki/SkipfishDoc

Prenez le temps de vérifier les nouvelles versions de l’outil car le développement avance à allure folle

Cet article a été posté le 28 mars 2010 à 21 h 10 min. Vous pouvez suivre les réponses à ce bulletin avec le flux suivant RSS 2.0. Vous pouvez laisser un commentaire, ou faire un trackback depuis votre propre site.

Posté dans Tutos de Nico par Nico 2 Commentaires