viernes, 21 de febrero de 2014

Escaneo de Vulnerabilidades con skipfish

Skipfish es una herramienta de reconocimiento activo para la seguridad de aplicaciones web. La cual prepara un mapa interactivo del sitio objetivo mediante la recuperación recursiva y pruebas basadas en diccionarios. El mapa resultante es luego anotada con la salida de un número activo (pero sin interferencia) de pruebas de seguridad. El reporte final generado por la herramienta sirve como base para evaluaciones profesionales de seguridad en aplicaciones web.

Características Principales
Varias herramientas comerciales y open source con funcionalidades análogas están disponibles; como Nikto2, Websecurify, Netsparker, w3af, Arachni. Skipfish intenta direccionar algunos de los problemas más comunes asociados con los escaners de seguridad. Las ventajas específicas incluyen:
  • Alto desempeño: Más de 500 solicitudes por segundo contra objetivos en Internet, más de 2000 solicitudes por segundo en redes LAN/WAN y más de 7000 solicitudes contra instancias locales, han sido observadas con modestas CPUs, redes o memoria.
  • Facilidad de uso: skipfish es altamente adaptable y confiable
  • Verificaciones de Seguridad bien diseñadas: La herramienta proporciona resultados precisos y significativos.
Instalación de Skipfish
Para instalar skipfish se requiere tener instalado libidn o libpcre3. Cumplido este requisito, se debe ejecutar el comando “make” dentro del directorio donde se desempaquetó y descomprimió el archivo.

Diccionarios
Skipfish construye y mantiene automáticamente diccionarios basados en las URLs y el contenido HTML encontrado mientras se recupera el sitio. Estos diccionarios son extremadamente útiles para escaneos posteriores al mismo objetivo, o para evaluaciones futuras de otras plataformas pertenecientes al mismo cliente.
Más..

Fuente: www.reydes.com

 Web del proyecto