2. Técnicas de Escaneo
Google, ha desarrollado una nueva herramienta gratuita para tratar de combatir
los sitios que incluyen código malicioso, se trata de Skipfish, un escáner de
seguridad para aplicaciones web. Esta aplicación está orientada a ser eficiente,
veloz y con baja incidencia de falsos positivos. En los últimos meses, varias
herramientas de seguridad web, han presentado falsos positivos. Skipfish,
promete disminuir los falsos positivos a la mínima expresión, además es
multiplataforma y bastante ligero.
3. Técnicas de Escaneo
El funcionamiento de Skipfish es sumamente sencillo. Al estar activado, genera
un mapa interactivo para la página web que queramos visitar; para realizar esto se
apoya en un rastreo recursivo del sitio en internet y en un amplio diccionario
basado en sondas.
Luego, el mapa generado pasa por distintos controles de seguridad, para
después, emitir un informe final, que permitirá realizar una evaluación del sitio web
al que aspiramos ingresar, y detectar sus fallos de seguridad mucho antes que
nos sorprendan a nosotros.
4. Técnicas de Escaneo
Skipfish, es una herramienta con la que se podrá visualizar rápidamente, si el sitio
que se desea visitar es de bajo o alto riesgo.
Además, cuenta con una amplia base de datos, que le permite ubicar
vulnerabilidades conocidas para los controles de los banners, lo que hace que su
informe de riesgo sea bastante completo.
9. Técnicas de Escaneo
Recordemos que debemos tener privilegios de root o de administrador asi que
tecleamos lo siguiente
sudo su
10.
11. Técnicas de Escaneo
Posteriormente escribimos el pass del root que es con lo que ingresamos a
bugtraq
123456
12.
13. Técnicas de Escaneo
Posteriormente nos aparecerá lo siguiente, indicándonos que ya tenemos
permisos de root
14.
15. Técnicas de Escaneo
Ahora tecleamos el siguiente comando para empezar a escanear un sitio web (en
mi caso metí la pagina :
./skipfish –o /home/bugtraq/Desktop/tutorial http://example.com
16.
17. Técnicas de Escaneo
Posteriormente cuando presionemos enter tendremos la siguiente secuencia que
se muestra a continuación
Nota. Genera informes bastante grandes, en general puede tardar de 2 o 10
horas y generar informes de 100 a 800 Mb, depende mucho de nuestra
velocidad de conexión.
Demasiado grande para auditorias rápidas pero bastante bueno para
auditorias completas
18.
19.
20.
21.
22.
23. Técnicas de Escaneo
Por ultimo checamos el informe que genero de acuerdo a la ruta que yo metí en la
consola, por lo tanto debemos de ver lo siguiente
24.
25. Técnicas de Escaneo
Abrimos la carpeta y le damos clic en index.html y nos aparecerá lo siguiente
26.
27. Técnicas de Escaneo
Para mas información puedes visitar los siguientes enlaces:
http://code.google.com/p/skipfish/
http://bugtraq-team.com/