Skipfish
Click here to load reader
-
Upload
mauro-parra-miranda -
Category
Technology
-
view
725 -
download
2
description
Transcript of Skipfish
¿Qué es Skipfish?
● Un sistema automático para escanear vulnerabilidades en sitios web.
● Es rápido: Puede hacer 500+ requests por segundo a sitios web, 2000+ en sitios dentro de tu lan/wan y 7000+ requests en máquinas locales.
● Fácil de usar: usa heuristicas para reconocer patterns que uno pueda atacar, genera diccionarios automáticos –aprende--, analisis probabilistico para pegarle en varios lados en sitios complejos.
● Analisis varios de seguridad.
Más detalles...
● Skipfish aplica diversas heuristicas para poder identificar problemas comunes como:● SQL Injection● XML/XPath injection● HTTP PUT● Sintaxis sql en post/get. ● Integer overflow● Problemas de MIME-charset● Directivas incorrectas de cache● Cross-site scripting XSS
Etica
● Skipfish es una herramienta de gran poder. ● Con un gran poder, viene una gran
responsabilidad: usa skipfish unicamente para tus propios sitios web para hacer analisis de seguridad.
● Ten cuidado en no aplicar eso en un servidor de producción, podría literalmente tirarlo.
● De nuevo: solo usa esta herramienta en tus propios sitios
Para probarlo...
● Baja el último código desde: http://code.google.com/p/skipfish
● Desempaqueta:● tar xzvf skipfish-1.55b.tgz● cd skipfish-1.55b● Make● Listo!
Ejecutando el programa
● Para correr el programa:
./skipfish -o output http://www.example.com● Y a esperar.● Veamos una prueba...
Simulación de DOS
● Aparte de funcionar para ver los posibles hoyos de seguridad de tu app, tambien te ayuda a simular un ataque de DOS en tu app; para que veas como reaccionaria y que estrategía pudieras tomar.
● Yo revise un servidor (de producción) y... se cayo! YAY! Gran sabado. #NOT
● Repito, no lo hagan en casa sin la supervisión de un adulto ;)
Recomendaciones
● Es importante que en cualquier sitio web que creen, revisen al menos con una herramienta como esta la seguridad de su sitio: tal vez apuntara a cosas obvias que podrian ser facilmente arreglables.
● Compartan estas ideas básicas con sus colegas desarrolladores: ellos lo agradeceran. Especialmente si se trata de un sitio bastante expuesto.
● Skipfish - http://code.google.com/p/skipfish● Docs skipfish -
http://code.google.com/p/skipfish/wiki/SkipfishDoc
● Presentación - http://www.slideshare.net/mauropm
● Preguntas o comentarios -
Ligas