skipfish Web Application Security Scanner
Viele Angriffe wenden sich gezielt gegen Webseiten/Foren/Blogs oder im “Worst Case” gegen selbstgeschriebene Webapplikationen. Es gibt verschiedene Werkzeuge um Sicherheitslücken und Programmierfehler vorher aufzudecken und auszumerzen z.B. Selenium für Firefox.
Trotz solcher Maßnahmen kommt es immer wieder vor, dass sich kleine Fehler in die eigene Applikation einschleichen und diese später von irgendeinem Hacker / Cracker / Script-Kiddy ausgenutzt werden. Im schlimmsten Fall ergattert der Angreifer Root-Zugangsrechte zum Server und verseucht die Box mit Malware, Trojanern , Viren oder bindet den kompromittierten Server in ein Spamming Botnetz ein.
Was ist skipfish?
Skipfish ist ein Web Security Scanner der zuerst einen rekursiven Durchlauf der Webseite vornimmt. Dazu wird eine Sitemap generiert, die dann Seite für Seite mit verschiedenen Sicherheitstests durchlaufen wird. Skipfish generiert daraus eine umfassende Statistik die dem Webdeveloper hilft Schwachstellen in seiner Appliktaion zu erkennen.
Nachfolgenden wird erklärt wie skipfish installiert und wie ein erster Scan durchgeführt wird.
Installation Linux
Zuerst wird das Paket von http://code.google.com/p/skipfish/ heruntergeladen, entpackt und konfiguriert:
cd skipfish-x.x.x make
Nachdem Skipfish nun gebaut wurde, kann ein erster schneller Scan erfolgen:
./skipfish -W /dev/null -LV -o /var/tmp/skipfish http://eigeneSeite.de
Dies dauert je nach Rechner Performance einige Zeit, allerdings ist dieser Scan weniger umfassend. Wer mehr über skipfish erfahren möchte, besucht den nachfolgenden
