Skipfish: Scanner de vulnerabilidades para el navegador
Michael Zalewski, reputado consultor y desarrollador en asuntos de seguridad, ha desarrollado para Google Skipfish, un potente y rápido escáner de vulnerabilidades web que sin lugar a dudas dará que hablar.
Skipfish es una herramienta de reconocimiento activo para la seguridad de aplicaciones web. La cual prepara un mapa interactivo del sitio objetivo mediante la recuperación recursiva y pruebas basadas en diccionarios. El mapa resultante es luego anotada con la salida de un número activo (pero sin interferencia) de pruebas de seguridad. El reporte final generado por la herramienta sirve como base para evaluaciones profesionales de seguridad en aplicaciones web.
Para compilarlo, una vez desempaquetado, sólo se necesita un "make" e instalar la librería libidn o libpcre3 primeramente. ReYDeS ha publicado un tutorial al respecto.
Skipfish está escrito intégramente en C, se distribuye gratuitamente bajo una Licencia Apache versión 2.0 y está disponible para sistemas GNU/Linux, FreeBSD 7.0+, MacOS X y Windows (Cygwin). Esta herramienta de seguridad cuenta entre otras, con las siguientes funciones hablando de detección de posibles fallos de seguridad;
Alertas de riesgo alto
o Directory listing bypass vectors.
o Redirection to attacker-supplied URLs (stored and reflected).
o Attacker-supplied embedded content (stored and reflected).
o External untrusted embedded content.
o Mixed content on non-scriptable subresources (optional).
o HTTP credentials in URLs.
o Expired or not-yet-valid SSL certificates.
o HTML forms with no XSRF protection.
o Self-signed SSL certificates.
o SSL certificate host name mismatches.
o Bad caching directives on less sensitive content.
Alertas internas
Skipfish es una herramienta de reconocimiento activo para la seguridad de aplicaciones web. La cual prepara un mapa interactivo del sitio objetivo mediante la recuperación recursiva y pruebas basadas en diccionarios. El mapa resultante es luego anotada con la salida de un número activo (pero sin interferencia) de pruebas de seguridad. El reporte final generado por la herramienta sirve como base para evaluaciones profesionales de seguridad en aplicaciones web.
Para compilarlo, una vez desempaquetado, sólo se necesita un "make" e instalar la librería libidn o libpcre3 primeramente. ReYDeS ha publicado un tutorial al respecto.
Skipfish está escrito intégramente en C, se distribuye gratuitamente bajo una Licencia Apache versión 2.0 y está disponible para sistemas GNU/Linux, FreeBSD 7.0+, MacOS X y Windows (Cygwin). Esta herramienta de seguridad cuenta entre otras, con las siguientes funciones hablando de detección de posibles fallos de seguridad;
Alertas de riesgo alto
- Server-side SQL injection (including blind vectors, numerical parameters).
- Explicit SQL-like syntax in GET or POST parameters.
- Server-side shell command injection (including blind vectors).
- Server-side XML / XPath injection (including blind vectors).
- Format string vulnerabilities.
- Integer overflow vulnerabilities.
- Stored and reflected XSS vectors in document body (minimal JS XSS support present).
- Stored and reflected XSS vectors via HTTP redirects.
- Stored and reflected XSS vectors via HTTP header splitting.
- Directory traversal (including constrained vectors).
- Assorted file POIs (server-side sources, configs, etc).
- Attacker-supplied script and CSS inclusion vectors (stored and reflected).
- External untrusted script and CSS inclusion vectors.
- Mixed content problems on script and CSS resources (optional).
- Incorrect or missing MIME types on renderables.
- Generic MIME types on renderables.
- Incorrect or missing charsets on renderables.
- Conflicting MIME / charset info on renderables.
- Bad caching directives on cookie setting responses.
o Directory listing bypass vectors.
o Redirection to attacker-supplied URLs (stored and reflected).
o Attacker-supplied embedded content (stored and reflected).
o External untrusted embedded content.
o Mixed content on non-scriptable subresources (optional).
o HTTP credentials in URLs.
o Expired or not-yet-valid SSL certificates.
o HTML forms with no XSRF protection.
o Self-signed SSL certificates.
o SSL certificate host name mismatches.
o Bad caching directives on less sensitive content.
Alertas internas
- o Failed resource fetch attempts.
- o Exceeded crawl limits.
- o Failed 404 behavior checks.
- o IPS filtering detected.
- o Unexpected response variations.
- o Seemingly misclassified crawl nodes.
- General SSL certificate information.
- Significantly changing HTTP cookies.
- Changing Server, Via, or X-… headers.
- New 404 signatures.
- Resources that cannot be accessed.
- Resources requiring HTTP authentication.
- Broken links.
- Server errors.
- All external links not classified otherwise (optional).
- All external e-mails (optional).
- All external URL redirectors (optional).
- Links to unknown protocols.
- Form fields that could not be autocompleted.
- All HTML forms detected.
- Password entry forms (for external brute-force).
- Numerical file names (for external brute-force).
- User-supplied links otherwise rendered on a page.
- Incorrect or missing MIME type on less significant content.
- Generic MIME type on less significant content.
- Incorrect or missing charset on less significant content.
- Conflicting MIME / charset information on less significant content.
- OGNL-like parameter passing conventions.
interesante!
ResponderBorrarEsto data del 4 de diciembre de 2012...
ResponderBorrarPor que se considera noticia entonces??
Palote, cuando salio la tool en dic 2012 lo publicamos como "noticia" pero ahora sumamos y publicamos la forma de uso que es mucho más util. No solo de noticias "de hoy" se vive ;)
ResponderBorrarCristian