comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Skipfish Web Application Security Scanner

  • 1 Respuestas
  • 1959 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado CalebBucker

  • *
  • Underc0der
  • Mensajes: 158
  • Actividad:
    0%
  • Reputación 0
  • Te crees Estrella? Avísame para pedirte un Deseo
    • Ver Perfil
    • [In]Seguridad Informatica
« en: Mayo 31, 2012, 12:25:01 pm »

Google, ha desarrollado una nueva herramienta gratuita para tratar de combatir los sitios que incluyen código malicioso, se trata de Skipfish, un escáner de seguridad para aplicaciones web. Esta aplicación está orientada a ser eficiente, veloz y con baja incidencia de falsos positivos. En los últimos meses, varias herramientas de seguridad web, han presentado falsos positivos. Skipfish, promete disminuir los falsos positivos a la mínima expresión, además es multiplataforma y bastante ligero. El funcionamiento de Skipfish es sumamente sencillo. Al estar activado, genera un mapa interactivo para la página web que queramos visitar; para realizar esto se apoya en un rastreo recursivo del sitio en internet y en un amplio diccionario basado en sondas. Luego, el mapa generado pasa por distintos controles de seguridad, para después, emitir un informe final, que permitirá realizar una evaluación del sitio web al que aspiramos ingresar, y detectar sus fallos de seguridad mucho antes que nos sorprendan a nosotros.

Skipfish, es una herramienta con la que se podrá visualizar rápidamente, si el sitio que se desea visitar es de bajo o alto riesgo. Además, cuenta con una amplia base de datos, que le permite ubicar vulnerabilidades conocidas para los controles de los baners, lo que hace que su informe de riesgo sea bastante completo.

Podemos encontrarla en: Aplicaciones - Backtrack - Vulnerability Assessment - Web Aplication Assessment - Web Vulnerability Scanners - Skipfish

Tambien podemos abrir la herramienta desde la consola:
Código: [Seleccionar]
root@bt:~# cd /pentest/web/skipfish
root@bt:/pentest/web/skipfish# ls
alloc-inl.h  config.h    database.h     Makefile  same_test.c  string-inl.h
analysis.c   COPYING     debug.h        o         sfscandiff   types.h
analysis.h   crawler.c   dictionaries   README    skipfish
assets       crawler.h   http_client.c  report.c  skipfish.1
ChangeLog    database.c  http_client.h  report.h  skipfish.c
root@bt:/pentest/web/skipfish# ./skipfish


Ahora tecleamos siguiente comando para empezar a scanear un sitio web:
Código: [Seleccionar]
root@bt:/pentest/web/skipfish# ./skipfish -o/pentest/web/skipfish/d -W dictionaries/complete.wl http://www.nasa.gov
La letra "d" en el comando es la carpeta que se creara con esa letra donde podemos ver los resultados del scan, tambien se puede usar cualquier letra y/o nombre; si queremos realizar otro scan solo cambiamos la letra & los resultados lo podemos ver en /pentest/web/skipfish/carpeta
Bueno, una vez ejecutado el comando para realizar el scan, nos saldra un aviso:

Podemos esperar los 60 segundos o tan solo presionamos enter & empezara el scan...

Empezado el scan, podemos apreciar todas las estadisticas:


Terminado el scan, ejecutaremos el siguiente comando para ver los resultados:
Código: [Seleccionar]
root@bt:/pentest/web/skipfish# firefox /pentest/web/skipfish/d/index.html
En este caso yo he cancelado el scan para realizar el tutorial; en si el scan puede tardar dependiendo de la velocidad de conexion.

Resultados:


Los resultados de este scan fue de 1 minuto & los resultados son muy positivos, si queremos tener un mejor resultado tenemos que esperar que el scan termine por su propia cuenta.

Informacion de la Herramienta:
http://code.google.com/p/skipfish/

Esto ha sido todo por ahora.

Espero les guste  ;)
« Última modificación: Agosto 08, 2014, 09:20:52 pm por Expermicid »

Desconectado Comandante Linux

  • *
  • Underc0der
  • Mensajes: 175
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • http://comandante-linux.blogspot.com/
    • Email
« Respuesta #1 en: Mayo 31, 2012, 12:40:56 pm »
No conocía esta herramienta se ve interesante lo que hace.
Gracias.

P/D: cambiaste el nombre del user en las pic's  :P.




 

¿Te gustó el post? COMPARTILO!



Offensive Security penetration testing with Kali Linux (Traducción al español)

Iniciado por Hex4w0rd

Respuestas: 27
Vistas: 9459
Último mensaje Noviembre 01, 2017, 08:51:12 pm
por Codig0Bit
WPScan Wordpress Security - Vulnerability Scanning

Iniciado por Pr0ph3t

Respuestas: 1
Vistas: 2656
Último mensaje Junio 08, 2012, 01:24:55 pm
por CalebBucker
Katana: Multi-Boot Security Suite!

Iniciado por Stiuvert

Respuestas: 4
Vistas: 2927
Último mensaje Enero 07, 2013, 11:48:19 pm
por ANTRAX
phpMyAdmin Login Page Scanner - Websploit [actualizado]

Iniciado por unkdown

Respuestas: 5
Vistas: 2433
Último mensaje Junio 29, 2015, 06:18:40 am
por unkdown
Offensive Security Penetrando con KALI [ENG] [PWK] [PDF]

Iniciado por IJ[0]SEE

Respuestas: 25
Vistas: 14851
Último mensaje Octubre 26, 2018, 03:42:31 am
por ismanio