skipfish – ウェブ アプリケーション セキュリティ スキャナー を使ってみた

Tweet

Category develop 2010/03/22

Googleが公開した、Webアプリケーション向けのセキュリティ脆弱性スキャナ「Skipfish」を試してみる。

公式サイト

http://code.google.com/p/skipfish/

ダウンロードはダウンロードのリンクから。

ドキュメントがこちら http://code.google.com/p/skipfish/wiki/SkipfishDoc。

最初に、このツールは何か、ツールを悪用しないように、テストの実行を許可されたサービスにのみ使用するようにと、説明が続く。

使い方

コンパイルの前に、libidnが必要だろうとのこと。もしlibidnがないなら、インストール。

# yum install libidn libidn-devel

コンパイルは、解凍して、makeしたらおしまい。

# tar zxf skipfish-1.26b.tgz
# cd skipfish
# make

準備としては、使いたい辞書を dictionaries から選んで skipfish.wl の名前で保存する。コマンド本体と同じ階層に辞書ファイルを置く。-Wオプションで都度指定してもよい。

# cp dictionaries/default.wl skipfish.wl

では実行。

これだとそのドメイン全部をクロールするらしい。

$ ./skipfish -o /path/to/result/dir http://192.168.0.xxx/xxx/

範囲を限定したかったらIオプションで、この文字列にマッチするURLだけを対象にする。

$ ./skipfish -o /path/to/result/dir -I http://192.168.0.xxx/xxx/ http://192.168.0.xxx/xxx/

skipfish version 1.26b by 

Scan statistics
---------------

       Scan time : 0:03:12.0925
   HTTP requests : 56025 sent (307.00/s), 72646.59 kB in, 17912.98 kB out (469.40 kB/s)
     Compression : 0.00 kB in, 0.00 kB out (0.00% gain)
 HTTP exceptions : 0 net errors, 0 proto errors, 0 retried, 0 drops
 TCP connections : 563 total (143.14 req/conn)
  TCP exceptions : 0 failures, 0 timeouts, 1 purged
  External links : 792 skipped
    Reqs pending : 24562

Database statistics
-------------------

          Pivots : 969 total, 393 done (40.56%)
     In progress : 229 pending, 301 init, 26 attacks, 20 dict
   Missing nodes : 2 spotted
      Node types : 1 serv, 281 dir, 305 file, 73 pinfo, 286 unkn, 22 par, 1 val
    Issues found : 64 info, 1 warn, 29 low, 8 medium, 27 high impact
       Dict size : 2233 words (233 new), 75 extensions, 208 candidates

フォームに値を入力させることはできないようですが、クッキーは持たせることができるので、ログインが必要なサイトにも対応可能でしょう。

1時間ほど延々とテストされました。サーバーさんの方も結構がんばったみたいで、ファンがよく回ってました。

テスト結果はコマンドに渡したディレクトリに保存され、HTTPでアクセスできるところに置けば、ブラウザで閲覧することができます。

結果をどう読むかなどは、また後日。とりあえず使ってみるところまででした。