skipfish - kiadta házon belül fejlesztett web biztonsági szkennerét a Google

Google

A Google számos eszközt és erőforrást tett már elérhetővé annak érdekében, hogy a webes alkalmazásokat fejlesztők minél biztonságosabb és megbízhatóbb alkalmazásokat fejleszthessenek. Most ismét egy ilyen szerszámot adott közre. A skipfish egy házon belül fejlesztett web biztonsági szkenner, felderítő eszköz. Fejlesztője és karbantartója Michał Zalewski. Ingyenes, nyílt forrású (Apache License 2.0), teljesen automatizált.

Skipfish akcióban

A futtatása közben statisztikát jelenít meg, a szkennelés és elemzés eredményét pedig a kötelezően megadandó output (-o dir) könyvtárba készíti el.

A tool jellemzői:

  • nagyteljesítményű - tisztán C-ben írt, erősen optimalizált HTTP kezelés, alacsony CPU terhelés (akár 2 000 kérés/sec sebesség megfelelően reszponzív célpont esetén)
  • könnyű használat
  • élvonalbeli biztonsági logika - alacsony false positive arány, széleskörű biztonsági tesztek a nehezen detektálható sebezhetőségek felderítésére

A bejelentés itt. A kód letölthető innen.

( pimpalaputty | 2010. 03. 21., v – 19:51 )

És akkor most mi is ez? Mit szkennel?

( uid_14357 | 2010. 03. 21., v – 20:43 )

nikto2 is "hasonló" bár van amiben nem versenytárs. perl vs C.
--
\\-- blog --//

( syntern | 2010. 03. 21., v – 21:07 )

Kíváncsi lennék arra, hogy mikor lesz ennek online változata, sokkal kényelmesebb lenne :)

( gthomas | 2010. 03. 21., v – 21:53 )

Letöltöttem, leforgattam, elindítottam a céges honlapra, és meghalt bele. Segfaultolt amikor végzett és kiírta volna a végeredményt (a crawl valószínűséget le kellett vennem 100%-ról, mert különben végtelen ciklusba került).

GThomas

( suckit | 2010. 03. 21., v – 22:06 )

Világhatalomra törős filmekben szoktam látni az agyszivattyút, azaz a jól védett objektumot, amibe a hatalommániás emberünk összegyűjti a világ összes fehérköpenyes tudósát.

A google-híreket olvasva valahogy mindig ez a kép jut eszembe.

suckIT szopás minden nap! A fájlokat tömörítsük, vagy a fájlrendszert?

( arpi_esp v | 2010. 03. 21., v – 22:50 )

Lefuttattam nehany oldalon, de semmi ertelmeste nem nyogott ki. Foleg a mime type-okkal van elfoglalva, de nem vagom mi a baja veluk, jok a visszaadott ertekek (szerintem legalabbis).
Meg erolteti a /cgi-bin/printenv/ url-t, pedig ilyen nincs is. Irja is hogy 404, mintha ez baj lenne...

Szoval mire is jo ez a micsoda?

A'rpi

( radix | 2010. 03. 21., v – 23:27 )

lefuttattam,
-SQL injection hibát talált a kódjaimban. $_SERVER[REQUEST_URI]-t használtam több helyen, és a benne lévő értékeket rendszerint elfelejtettem addslash-olni.
-XSS hibák, olyan helyen, amikre nem is gondoltam.
-Mime-s gondok.
-Kint maradt phpmyadminok
-Jelszóval nem védett admin oldal
-stb.
Hasznos tool.

Kéne valami olyan alkalmazás is, ami a szervert teszteli le valahogyan. Az alábbi Epic Fail velem történt:
-beállítottam egy szervert: lett rá postfix telepítve, hogy a PHP tudjon levelet küldeni. Az SMTP-t megszorítottam a localhostra.
-egy szép nyári nap tettem rá egy proxy szervert, iptable-val beállítottam hogy csak én tudjam elérni. (az squid configban minden címről való kapcsolódást engedélyeztem)
-pár hétre rá újraindítottam a szervert, a proxit akkor már nem használtam, az IPTABLE-ról meg elfelejtkeztem.
==> 4-5 nap múlva a szerver lefagyott.
-bementem a Victur Hugo-ba, és újraindítottam, harveresen okésnak tűnt, nem értettem az okát. Mire hazaértem, a load már 20 körül volt.
-htop: a bűnös a log rotate: milliónyi levél volt a postfix mail queue-jában: Rolex, Viagra, és a társai.
-postfix leállít, mail queue kipucul, postfix újraindít: pár óra múlva ismét 50 ezer spam a queue-ban.

A hiba az squid volt: miután csatlakoztak rá, a localhost-on ott figyelt az SMTP szerver, és úgy töltötték be a spamet.
De mire erre rájöttem.... Na, itt jött volna jól a szerver-sebezhetőséget felderítő tool :)

( anr | 2010. 03. 22., h – 11:12 )

[+] This was a great day for science!

--
Live free, or I f'ing kill you.

( veresh | 2010. 03. 22., h – 13:36 )

Véleményem szerint sajnos ez akár rossz célokra is használható. Ezzel a programmal megkönnyítik egyes rosszindulatú felhasználók dolgát, akik fel akarnak törni egy oldalt.

veresh

csak mint bármilyen szakmai tudás, pl az orvos tudja mi mérgező az emberre nézve, a kémikus tudja ezeket hogy lehet előállítani..

minden szakmát tanult embernek le kelljen tennie egy esküt hogy ami tudást megszerzett szakmán kívülinek nem adja tovább, a nyílt internetet pedig becsukjuk, a bulváron kívül mindenhova csak jelszóval lehet belépni.. persze az igazi az lenne ha végre valaki feltalálná az időutazást és ádám kezére csapnánk

( djsilas | 2010. 03. 22., h – 15:14 )

Lehet "felesleges" leírnom, de a doksiból egy dolgot hiányoltam.
Azt írják, hogy libidn -re szükség lesz, de a libssl-dev -ről egy szót sem találtam. Tehát nekem Debian Lenny -n csak "apt-get install libidn11-dev libssl-dev" után sikerült lefordítani. Jó próbálkozást :)