Skipfish - Web Application Security Scanner

[Skipfish logo]
גוגל שחררו הבוקר (21/03/10) את Skipfish, תוכנה המבצעת סריקה וניתוח אבטחת מידע
לאפליקציות Web - בקוד פתוח. התוכנה שוחחרה בגרסאות להפצות Linux, FreeBSD,
 MacOS X ומסוגלת לרוץ תחת Cygwin ב-Windows.

 התוכנה נכתבה ב-C ולפי דברי Michal Zalewski (המוכר כ-Lcamtuf שפרסם את "Browser
Security Handbook" לקראת סוף 2009- חלק א'חלק ב' ו-חלק ג') התוכנה מהירה מאוד,
עקב כך שהיא נכתבה ב-C ומסוגלת להתמודד עם מספר רב של בקשתות תחת הפרוטוקול
HTTP (או ליתר דיוק: "easily achieving 2000 requests per second"), בנוסף לכך שהיא
כמעט ולא דורשת CPU.

נכון לעכשיו (גרסת 1.06b), התוכנה יודעת לזהות את החולשות הבאות: (נלקח מה-Project documentation):
 
High risk flaws (potentially leading to system compromise):
  • Server-side SQL injection (including blind vectors, numerical parameters).
  • Explicit SQL-like syntax in GET or POST parameters.
  • Server-side shell command injection (including blind vectors).
  • Server-side XML / XPath injection (including blind vectors).
  • Format string vulnerabilities.
  • Integer overflow vulnerabilities.
Medium risk flaws (potentially leading to data compromise):
  • Stored and reflected XSS vectors in document body (minimal JS XSS support present).
  • Stored and reflected XSS vectors via HTTP redirects.
  • Stored and reflected XSS vectors via HTTP header splitting.
  • Directory traversal (including constrained vectors).
  • Assorted file POIs (server-side sources, configs, etc).
  • Attacker-supplied script and CSS inclusion vectors (stored and reflected).
  • External untrusted script and CSS inclusion vectors.
  • Mixed content problems on script and CSS resources (optional).
  • Incorrect or missing MIME types on renderables.
  • Generic MIME types on renderables.
  • Incorrect or missing charsets on renderables.
  • Conflicting MIME / charset info on renderables.
  • Bad caching directives on cookie setting responses.
Low risk issues (limited impact or low specificity):
  • Directory listing bypass vectors.
  • Redirection to attacker-supplied URLs (stored and reflected).
  • Attacker-supplied embedded content (stored and reflected).
  • External untrusted embedded content.
  • Mixed content on non-scriptable subresources (optional).
  • HTTP credentials in URLs.
  • Expired or not-yet-valid SSL certificates.
  • HTML forms with no XSRF protection.
  • Self-signed SSL certificates.
  • SSL certificate host name mismatches.
  • Bad caching directives on less sensitive content.
  • Internal warnings:
  • Failed resource fetch attempts.
  • Exceeded crawl limits.
  • Failed 404 behavior checks.
  • IPS filtering detected.
  • Unexpected response variations.
  • Seemingly misclassified crawl nodes.
  • Non-specific informational entries:
  • General SSL certificate information.
  • Significantly changing HTTP cookies.
  • Changing Server, Via, or X-... headers.
  • New 404 signatures.
  • Resources that cannot be accessed.
  • Resources requiring HTTP authentication.
  • Broken links.
  • Server errors.
  • All external links not classified otherwise (optional).
  • All external e-mails (optional).
  • All external URL redirectors (optional).
  • Links to unknown protocols.
  • Form fields that could not be autocompleted.
  • All HTML forms detected.
  • Password entry forms (for external brute-force).
  • Numerical file names (for external brute-force).
  • User-supplied links otherwise rendered on a page.
  • Incorrect or missing MIME type on less significant content.
  • Generic MIME type on less significant content.
  • Incorrect or missing charset on less significant content.
  • Conflicting MIME / charset information on less significant content.
  • OGNL-like parameter passing conventions.

עוד לא בדקתי את התוכנה ואין ספק שהיא מעניינת, אבל עם זאת, חשוב לזכור שמדובר
בגוגל, וכמו שכבר ראינו, בהרבה מאוד יישומים אחרים שלה- יש סיכוי שגם פה תוצאות
הבדיקה נשלחות למסדי הנתונים שלה. למרות שלא מדובר כאן בפרטים אישיים או חסויים
של בן אדם או משתמשים, מדובר כאן במידע רגיש מאוד מכל בחינה.
 
לא מדובר בכלי הראשון מסוגו שגוגל שחררו, באמצע שנת 2008 גוגל שחררה את Ratproxy
שלא נחל הצלחה גדולה כל כך.

כיום, קיימות מספר תוכנות לביצוע ניתוח אבטחה של אפליקציות Web בקוד פתוח/חינמיות,
 כגון Nikto (המחודש) של CIRT.net או Nessus הוותיקה שמספקות את הסחורה באופן
מצויין. אישית, אני לא מעריץ גדול של כלים אוטומטיים ותמיד מעדיף עבודה ידנית, ולמרות
שמדובר בכלי מעניין, אני לא רואה כאן שום סיבה לאמץ אותה.


תגובות על 'Skipfish - Web Application Security Scanner':



#1 

m1ch43l1014 (אורח):
אחלה סיקור [;
מעניין לדעת אם באמת אם היא מגלה את הדברים שרשומים שם ואם היא גם מעבירה פרטים.
22.03.2010 01:22:34

#2 

The5elEm3nT (אורח):
מה שבאמת יהיה מענין לשמוע זה ניתוח של התוכנית מפיו של רוורסר טוב.
22.03.2010 10:15:55

#3 

The5elEm3nT (אורח):
או שלא >< [קוד פתוח OO]
22.03.2010 10:41:05

#4 

cp77fk4r:
כן, סטלן, לא צריך ידע ברוורסינג מדובר בקוד פתוח :)
22.03.2010 12:08:59

#5 

cp77fk4r:
שלחתי מייל ל-lcamtuf והפנתי אליה את השאלה, היא אמרה שבשום דרך הדו"ח או ניתוח המטרה לא נשלח לגוגל.
23.03.2010 01:19:10

#6 

inHaze (אורח):
יכול להיות שהם מנסים את השוק של אבטחת מידע... או שזה פרוייקט של מתכנתים חובבי אבטחת מידע מגוגל (גוגל מאפשרת לעובדים שלה לעסוק בפרוייקטים אישיים יום בשבוע - ככה gmail נוצר לדוגמה)
23.03.2010 12:29:57

#7 

m1ch43l1014:
The5elEm3nT , תהיה בריא [;
cp77fk4r, יש דרך לבדוק את זה חוץ מלעבור על הקוד או לבדוק אם נשלח משהו בסניפר?
23.03.2010 18:19:38

#8 

cp77fk4r:
לשאול את הבחורה שכתבה את הקוד?
23.03.2010 18:49:49

#9 

מעוז (אורח):
בדקתי את המוצר, הוא נחמד...אבל אני מכיר ממוצר טוב יותר

www.zerodayscan.com
26.09.2010 21:56:57



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.