Google presenta Skipfish, un escáner de seguridad para aplicaciones web

Google liberó su propio escáner de seguridad de aplicaciones Web, llamado Skipfish. Es un programa gratuito  que está preparado para trabajar dentro de amplia variedad de marcos para aplicaciones Web. Fue construido con un énfasis en la velocidad y una reducción de falsos positivos, dijo la compañía.

Skipfish entra en un campo lleno de herramientas de seguridad (tanto gratuitas como comerciales) que realizan pruebas de aplicaciones Web. Un área dónde también participan  diversas empresas de seguridad y consultorías especializadas cómo  WhiteHat, Cenzic entre otros. Google dice que Skipfish está destinado a ser fácil de usar, rápido y produce pocos falsos positivos.

"Skipfish es una herramienta web activa de reconocimiento de seguridad. Genera un mapa interactivo para el sitio especificado mediante un rastreo recursivo y un diccionario basado en sondas. Posteriormente el mapa resultante pasa por diversos controles de seguridad (esperemos que no muy destructivos). El informe final generado por la herramienta está destinado a servir como una base para la evaluación profesional de la seguridad de aplicaciones web ", según informa la documentación del escáner.

Sin embargo, Skipfish no pretende ser un reemplazo para los escáneres comerciales, al menos eso parece. Google dice en la documentación que el escáner no responde a muchos de los criterios de evaluación establecidos por el Consorcio de seguridad de aplicaciones Web para este tipo de escáneres, y también cuenta con una "amplia base de datos de vulnerabilidades conocidas para los controles de tipo banner”.

Autor: Dennis Fisher
Fuente: Threat post