Skipfish es una herramienta de reconocimiento activo para la
seguridad de aplicaciones web. La cual prepara un mapa interactivo del
sitio objetivo mediante la recuperación recursiva y pruebas basadas en
diccionarios. El mapa resultante es luego anotada con la salida de un
número activo (pero sin interferencia) de pruebas de seguridad. El
reporte final generado por la herramienta sirve como base para
evaluaciones profesionales de seguridad en aplicaciones web.
Características Principales
Varias herramientas comerciales y open source con funcionalidades
análogas están disponibles; como Nikto2, Websecurify, Netsparker, w3af,
Arachni. Skipfish intenta direccionar algunos de los problemas más
comunes asociados con los escaners de seguridad. Las ventajas
específicas incluyen:
- Alto desempeño: Más de 500 solicitudes por segundo contra objetivos en Internet, más de 2000 solicitudes por segundo en redes LAN/WAN y más de 7000 solicitudes contra instancias locales, han sido observadas con modestas CPUs, redes o memoria.
- Facilidad de uso: skipfish es altamente adaptable y confiable
- Verificaciones de Seguridad bien diseñadas: La herramienta proporciona resultados precisos y significativos.
Instalación de Skipfish
Para instalar skipfish se requiere tener instalado libidn o libpcre3.
Cumplido este requisito, se debe ejecutar el comando “make” dentro del
directorio donde se desempaquetó y descomprimió el archivo.
Diccionarios
Skipfish construye y mantiene automáticamente diccionarios basados en
las URLs y el contenido HTML encontrado mientras se recupera el sitio.
Estos diccionarios son extremadamente útiles para escaneos posteriores
al mismo objetivo, o para evaluaciones futuras de otras plataformas
pertenecientes al mismo cliente.
Más..Fuente: www.reydes.com
Web del proyecto
No hay comentarios:
Publicar un comentario