Skipfish – сканер сетевых приложений от Google

Компания Google выпустила новый инструмент с открытым исходным кодом для тестирования веб-приложений на предмет наличия уязвимостей безопасности – сканер Skipfish. Создатель программы Михал Залевский (Michal Zalewski) утверждает, что с ее помощью можно обнаружить ошибки, позволяющие выполнять нетривиальные атаки, подобные слепым SQL- или XPath-инъекциям.

Skipfish выполняет рекурсивный анализ веб-приложения и его проверку на базе словаря, после чего составляет карту сайта, снабженную комментариями об обнаруженных уязвимостях. Финальный отчет может служить основой для оценки безопасности приложения.

В настоящее время пользователю доступно несколько программных продуктов для онлайн-сканирования, как коммерческих, так и открытых, включая Nikto и Nessus, но автор Skipfish указывает на высокую производительность своего приложения, способного, в зависимости от характеристик тестируемого сервера, выполнять свыше 500 запросов в секунду при соединении через Интернет и более 2 тысяч запросов – при соединении через локальную сеть.

Залевский предупреждает, что Skipfish не является универсальным средством против любых опасностей, поскольку программа целенаправленно не была доведена до полного соответствия всем критериям, выдвигаемым к сканерам для веб-приложений консорциумом WASC (Web Application Security Consortium). Вдобавок для Skipfish не подготовлена база данных об известных уязвимостях.

Рекомедуя пользователям выбирать сканер, соответствующий их потребностям, автор просит использовать его продукт исключительно с благими намерениями: "Применяйте его для сканирования только тех сервисов, которыми владеете сами или для которых имеете соответствующее разрешение".

Программа Skipfish, написанная на языке C, предоставляется по условиям лицензии Apache Licence 2.0 и предназначена для использования в средах Linux, FreeBSD версии 7.0 и выше, Mac OS X и Windows, а ее текущей версией на сегодняшний день является 1.25 beta.