Skipfish: ein Security Scanner von Google

201009-skipfish.pngSkipfish ist ein voll automatischer Sicherheitsscanner für Web Anwendungen. Er wird von Google als OpenSource bereitgestellt. Wenn ich die diversen Reviews richtig verstehe sollte er als eins von mehreren Sicherheitswerkzeugen angesehen werden. Also keine eierlegende Wollmichsau aber auf jeden Fall sinnvoll es laufen zu lassen.

Installation ist einfach (hier auf Debian)

apt-get install libidn11-dev libssl-dev
mkdir skipfish
cd skipfish/
wget http://skipfish.googlecode.com/files/skipfish-1.64b.tgz
tar xzvf skipfish-1.64b.tgz
cd skipfish-1.64b
make

In den meisten Anleitungen steht, daß man mit der grossen Wortliste beginnt. Aber Achtung: Skipfish erzeugt richtig viel Last. Den ersten Versuch mit der grossen Wortliste habe ich auf meinem schwachbrüstigen Doppel Pentium3 Entwicklungsrechner nach 3 Tagen abgebrochen.

Ich würde auf jeden Fall erstmal mit einer leeren Wortliste starten. Da kommt schon genug Last zusammen.

touch empty-wordlist
./skipfish -u -o outputdirectory -W empty-wordlist http://your-server.addr.ess

Nach 1,5 Tagen war der Test dann durch. Man bekommt die Ergebnisse als HTML Seite.

201009-skipfish-screen.png