Google wydało Skipfish, skaner bezpieczeństwa aplikacji internetowych

Google wydało własny skaner aplikacji webowych pod nazwą Skipfish. Darmowy skaner został stworzony aby współpracować z wieloma istniejącymi frameworkami aplikacji webowych oraz z naciskiem na prędkość i niski błąd klasyfikacji (tzw. błąd pierwszego rodzaju).

Skipfish wchodzi na już zatłoczony rynek narzędzi do testowania bezpieczeństwa aplikacji web. Konkurencją dla niego będą także firmy specjalizujące się w testowaniu aplikacji takie jak WhiteHat, Cenzic oraz wiele innych. Google oświadczyło, że Skipfish ma być łatwy w użyciu, szybki oraz bezbłędny.

Zrzut ekranu Skipfish

Według dokumentacji skanera “Skipfish jest narzędziem do rozpoznawania zabezpieczeń działających aplikacji webowych. Na początku skaner przygotowuje interaktywną mapę witryny poprzez robota odwiedzającego rekursywnie każdą stronę oraz próby słownikowe. Mapa wynikowa jest następnie opatrzona wynikami z liczbą aktywnych (miejmy nadzieję nieprzerywalnych) testów bezpieczeństwa. Końcowy raport wygenerowany przez narzędzie ma służyć jako podstawa do profesjonalnej oceny bezpieczeństwa aplikacji internetowej”.

Jednakże wydaje się, że skaner Skipfish nie ma być zamiennikiem dla komercyjnych skanerów. W dokumentacji Google stwierdza, że skaner nie spełnia wielu kryteriów oceny określonych przez Web Application Security Consortium (WASC) dla skanerów, a także “obszernej bazy danych znanych luk typu banner-type”.

Warto zaznaczyć, iż aplikacja została napisana i jest utrzymywana przez polskiego hakera Michała Zalewskiego znanego jako lcamtuf.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar kuku
    kuku

    Jak to kiedyś pewien Fin powiedział: 'debuggery są do dupy – pozwalają lamerom tworzyć kod' – czy coś tak. Czyż nie ma w tym prawdy?

    1. Awatar enkidu
      enkidu

      coś w tym jest… trochę wyobraźni i błędów da się uniknąć…

      1. Awatar Budyń
        Budyń

        Żyjcie dalej złudzeniami :>

      2. Awatar X
        X

        To prawda. Da się uniknąć. Tylko, że wyobraźni trzeba znacznie więcej niż "trochę". Nasz gatunek nie jest w stanie wydać ma osób z taką wyobraźnią. Chyba, że chodzi o ligę "hello world".

    2. Awatar trasz
      trasz

      @kuku: Wnoszac po ilosci dziur i regresji w kolejnych wersjach dziela rzeczonego Fina – kompletnie.

    3. Awatar agent_J
      agent_J

      Dziewczyna mu d*** nie dała to się musiał dowartościować 🙂

  2. Awatar maq
    maq

    no dobrze , ale czy lcamtuf nie miał już swojego skanera RatProxy ?
    Zmienili nazwe i powstal nowy produkt ?

    1. Awatar Zahariash
      Zahariash

      RatProxy w odróżnieniu od tego skanera jest pasywny.

      1. Awatar Zahariash
        Zahariash

        Uzupełniając… RatProxy w trybie aktywnym wykonuje tylko minimalne, maksymalnie nieinwazyjne testy, chyba głównie XSS.

        1. Awatar maq
          maq

          Dzięki, wszystko jasne.

          'Silence on the wire' można rzec 🙂

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *