Descargar para leer sin conexión
Subido porMauro Parra-Miranda
Skipfish
Skipfish es una herramienta automatizada para escanear vulnerabilidades en sitios web de forma rápida y fácil. Aplica diversas heurísticas para identificar problemas comunes como inyección SQL, XSS y desbordamiento de enteros. Se recomienda usar Skipfish solo en los propios sitios web con fines de prueba y análisis de seguridad, y no en servidores de producción para evitar causar daños.
Más contenido relacionado
![Hacking ético [Pentest]](https://cdn.slidesharecdn.com/ss_thumbnails/hackingticopentest-131012041746-phpapp02-thumbnail.jpg?width=640&height=640&fit=bounds)
![Índice del libro: "Python para pentesters" [2ª Edición] de 0xWord](https://cdn.slidesharecdn.com/ss_thumbnails/indicepythonparapentesters-201115071920-thumbnail.jpg?width=640&height=640&fit=bounds)
Skipfish
- 1.
- 2. ¿Qué es Skipfish? ● Un sistema automático para escanear vulnerabilidades en sitios web. ● Es rápido: Puede hacer 500+ requests por segundo a sitios web, 2000+ en sitios dentro de tu lan/wan y 7000+ requests en máquinas locales. ● Fácil de usar: usa heuristicas para reconocer patterns que uno pueda atacar, genera diccionarios automáticos – aprende--, analisis probabilistico para pegarle en varios lados en sitios complejos. ● Analisis varios de seguridad.
- 3. Más detalles... ● Skipfish aplica diversas heuristicas para poder identificar problemas comunes como: ● SQL Injection ● XML/XPath injection ● HTTP PUT ● Sintaxis sql en post/get. ● Integer overflow ● Problemas de MIME-charset ● Directivas incorrectas de cache ● Cross-site scripting XSS
- 4. Etica ● Skipfish es una herramienta de gran poder. ● Con un gran poder, viene una gran responsabilidad: usa skipfish unicamente para tus propios sitios web para hacer analisis de seguridad. ● Ten cuidado en no aplicar eso en un servidor de producción, podría literalmente tirarlo. ● De nuevo: solo usa esta herramienta en tus propios sitios
- 5. Para probarlo... ● Baja el último código desde: http://code.google.com/p/skipfish ● Desempaqueta: ● tar xzvf skipfish-1.55b.tgz ● cd skipfish-1.55b ● Make ● Listo!
- 6. Ejecutando el programa ● Para correr el programa: ./skipfish -o output http://www.example.com ● Y a esperar. ● Veamos una prueba...
- 7. Simulación de DOS ● Aparte de funcionar para ver los posibles hoyos de seguridad de tu app, tambien te ayuda a simular un ataque de DOS en tu app; para que veas como reaccionaria y que estrategía pudieras tomar. ● Yo revise un servidor (de producción) y... se cayo! YAY! Gran sabado. #NOT ● Repito, no lo hagan en casa sin la supervisión de un adulto ;)
- 8. Recomendaciones ● Es importante que en cualquier sitio web que creen, revisen al menos con una herramienta como esta la seguridad de su sitio: tal vez apuntara a cosas obvias que podrian ser facilmente arreglables. ● Compartan estas ideas básicas con sus colegas desarrolladores: ellos lo agradeceran. Especialmente si se trata de un sitio bastante expuesto.
- 9. Ligas ● Skipfish - http://code.google.com/p/skipfish ● Docs skipfish - http://code.google.com/p/skipfish/wiki/SkipfishDoc ● Presentación - http://www.slideshare.net/mauropm ● Preguntas o comentarios - mauropm@gmail.com