Google wydało Skipfish, skaner bezpieczeństwa aplikacji internetowych

  • Home
  • /
  • Blog
  • /
  • Google wydało Skipfish, skaner bezpieczeństwa aplikacji internetowych

Data: 20 marca, 2010

Google wydało własny skaner aplikacji webowych pod nazwą Skipfish. Darmowy skaner został stworzony aby współpracować z wieloma istniejącymi frameworkami aplikacji webowych oraz z naciskiem na prędkość i niski błąd klasyfikacji (tzw. błąd pierwszego rodzaju).

Skipfish wchodzi na już zatłoczony rynek narzędzi do testowania bezpieczeństwa aplikacji web. Konkurencją dla niego będą także firmy specjalizujące się w testowaniu aplikacji takie jak WhiteHat, Cenzic oraz wiele innych. Google oświadczyło, że Skipfish ma być łatwy w użyciu, szybki oraz bezbłędny.

Zrzut ekranu Skipfish

Według dokumentacji skanera “Skipfish jest narzędziem do rozpoznawania zabezpieczeń działających aplikacji webowych. Na początku skaner przygotowuje interaktywną mapę witryny poprzez robota odwiedzającego rekursywnie każdą stronę oraz próby słownikowe. Mapa wynikowa jest następnie opatrzona wynikami z liczbą aktywnych (miejmy nadzieję nieprzerywalnych) testów bezpieczeństwa. Końcowy raport wygenerowany przez narzędzie ma służyć jako podstawa do profesjonalnej oceny bezpieczeństwa aplikacji internetowej”.

Jednakże wydaje się, że skaner Skipfish nie ma być zamiennikiem dla komercyjnych skanerów. W dokumentacji Google stwierdza, że skaner nie spełnia wielu kryteriów oceny określonych przez Web Application Security Consortium (WASC) dla skanerów, a także “obszernej bazy danych znanych luk typu banner-type”.

Warto zaznaczyć, iż aplikacja została napisana i jest utrzymywana przez polskiego hakera Michała Zalewskiego znanego jako lcamtuf.

Podobne wpisy

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone


  1. kuku pisze:

    Jak to kiedyś pewien Fin powiedział: 'debuggery są do dupy – pozwalają lamerom tworzyć kod' – czy coś tak. Czyż nie ma w tym prawdy?

    1. enkidu pisze:

      coś w tym jest… trochę wyobraźni i błędów da się uniknąć…

      1. Budyń pisze:

        Żyjcie dalej złudzeniami :>

      2. To prawda. Da się uniknąć. Tylko, że wyobraźni trzeba znacznie więcej niż "trochę". Nasz gatunek nie jest w stanie wydać ma osób z taką wyobraźnią. Chyba, że chodzi o ligę "hello world".

    2. trasz pisze:

      @kuku: Wnoszac po ilosci dziur i regresji w kolejnych wersjach dziela rzeczonego Fina – kompletnie.

    3. agent_J pisze:

      Dziewczyna mu d*** nie dała to się musiał dowartościować 🙂

  2. no dobrze , ale czy lcamtuf nie miał już swojego skanera RatProxy ?
    Zmienili nazwe i powstal nowy produkt ?

    1. Zahariash pisze:

      RatProxy w odróżnieniu od tego skanera jest pasywny.

      1. Zahariash pisze:

        Uzupełniając… RatProxy w trybie aktywnym wykonuje tylko minimalne, maksymalnie nieinwazyjne testy, chyba głównie XSS.

        1. Dzięki, wszystko jasne.

          'Silence on the wire' można rzec 🙂

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Newsletter OSnews raz w tygodniu. Bez reklam.