Montag, 29. März 2010

Google Skipfish: Webapplikationen testen und absichern

Skipfish auf Debian Google hat ein Werkzeug namens Skipfish veröffentlicht, mit dem man Schwachstellen in Webapplikationen auf die Schliche kommen kann.

Skipfish ist ein Kommandozeilentool, das im Quelltext vorliegt und somit erst noch lauffähig zu machen ist.

Ich bin kein Web-Entwickler, trotzdem spiele ich immer mal ganz gerne mit solchen Sachen herum – also was liegt näher als das ganze mal auszuprobieren, auch wenn es eher dem Stochern im Dunkeln ähnelt?

Ich habe ja immer noch meine Debian-basierte NSLU2 hier laufen, diese ist ja ganz gut für solche Sachen geeignet, auch wenn die Performance des Geräts jetzt nicht gerade als überragend zu bezeichnen ist.

Also, hier mal schnell für euch zum Nachvollziehen, wie fix das Compilieren der ganzen Geschichte auf Debian geht:

//NSLU2~# mkdir skipfish
//NSLU2~# cd skipfish/
//NSLU2~/skipfish# wget http://skipfish.googlecode.com/files/skipfish-1.19b.tgz
--2010-03-24 17:55:22-- http://skipfish.googlecode.com/files/skipfish-1.19b.tgz
Auflösen des Hostnamen »skipfish.googlecode.com«.... 209.85.129.82
Verbindungsaufbau zu skipfish.googlecode.com|209.85.129.82|:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 173719 (170K) [application/x-gzip]
In »skipfish-1.19b.tgz« speichern.

100% [================================================================================>] 173.719 259K/s in 0,7s

2010-03-24 17:55:23 (259 KB/s) - »skipfish-1.19b.tgz« gespeichert [173719/173719]
//NSLU2~/skipfish# tar xvf skipfish-1.19b.tgz
.
.
.
//NSLU2~/skipfish# cd skipfish
//NSLU2~/skipfish/skipfish# make cc -L/usr/local/lib/ -L/opt/local/lib skipfish.c -o skipfish -O3 -Wno-format -Wall -funsigned-char -g -ggdb -D_FORTIFY_SOURCE=0 -I/usr/local/include/ -I/opt/local/include/ \
http_client.c database.c crawler.c analysis.c report.c -lcrypto -lssl -lidn -lz

See dictionaries/README-FIRST to pick a dictionary for the tool.

Having problems with your scans? Be sure to visit:
http://code.google.com/p/skipfish/wiki/KnownIssues

//NSLU2~/skipfish/skipfish#

In der Zwischenzeit gibt es auf der Homepage auch schon Version 1.26b zum Download, das Procedere ist aber identisch.

Skipfish ruft man einfach über die Kommandozeile auf, zum Beispiel mit

//NSLU2~# ./skipfish -o ./results/ -W dictionaries/default.wl http://bilderrahmen.lan

Skipfish-Auswertung Dabei wird also die Webadresse bilderrahmen.lan mit dem Standard-Wörterbuch und ohne besondere Optionen geprüft. Das Ergebnis ist dann ein in HTML erzeugter Report, den man sich bequem im Webbrowser anschauen kann.

Schwachstellen und Auffälligkeiten sind farblich gekennzeichnet und mittels Klick kann man weitere Details der Analyse abrufen.

Skipfish ist ein sehr spezielles Werkzeug, das etwas in die Domäne der Schwachstellenscanner Nessus und OpenVAS vordringt. Für Webentwickler sicherlich einen Blick wert!

blog comments powered by Disqus

Design von Dicas Blogger, angepasst durch Mario Ruprecht