Skipfish

Skipfish un scanner de vulnérabilités Web Open Source créé par Michal Zalewski.

Cet outil fonctionne en ligne de commande et propose différentes fonctionnalités intéressantes :

Scan rapide : écrit en C et optimisé pour le protocole HTTP. Il est capable d’effectuer 2000 requêtes par seconde dans un environnement local et 500 requêtes par seconde sur Internet.
– Approche de type heuristique.
Apprentissage et sauvegarde des failles découvertes afin de les réutiliser lors d’un futur scan.
– Génère un rapport détaillé en html et ce même en ayant arrêté le scan.

Téléchargement

#wget http://skipfish.googlecode.com/files/skipfish-1.26b.tgz
#
tar zxvf skipfish-1.26b.tgz

Installation

#apt-get install libidn11-dev
#apt-get install libssl-dev
#cd skipfish
#make

Utilisation

Il est nécessaire de copier et renommer le fichier dictionnaire à utiliser (minimal, default, complete, etc.) dans le répertoire skipfish.

Regardons un exemple avec le dictionnaire default :

#cp dictionaries/default.wl skipfish.wl

Scan du site www.lestutosdenico.com et sauvegarde du rapport dans le dossier scan :

#./skipfish -o /home/user/scan http://www.lestutosdenico.com



Voici l’exemple du rapport généré :



Site officiel de l’outil  : http://code.google.com/p/skipfish/
Lien vers la documentation officielle :
http://code.google.com/p/skipfish/wiki/SkipfishDoc

Prenez le temps de vérifier les nouvelles versions de l’outil car le développement avance à allure folle 🙂

2 Responses to "Skipfish"

  • admin says:
  • ElToTo says:
Laissez un commentaire