Skipfish es una herramienta de reconocimiento de seguridad para aplicaciones web. Se trata de un escáner de seguridad para aplicaciones web lanzado por Google. Esta aplicación está orientada a ser eficiente, veloz y con baja incidencia de falsos positivos.
El funcionamiento de Skipfish es sumamente sencillo. Al estar activado, genera un mapa interactivo para la página web que queramos visitar; para realizar esto se apoya en un rastreo recursivo del sitio en internet y en un amplio diccionario basado en sondas. Luego, el mapa generado pasa por distintos controles de seguridad, para después, emitir un informe final, que permitirá realizar una evaluación del sitio web al que aspiramos ingresar, y detectar sus fallos de seguridad mucho antes que nos sorprendan a nosotros. El informe final generado por la herramienta está pensada para servir de base para la evaluación profesional de seguridad de aplicaciones Web.
Skipfish está escrita en C y dispone de una capacidad para procesar aproximadamente 2 mil peticiones HTTP por segundo sin elevar demasiado el consumo de uso de CPU y de memoria en los servidores.
Skipfish, es una herramienta con la que se podrá visualizar rápidamente, si el sitio que se desea visitar es de bajo o alto riesgo. Además, cuenta con una amplia base de datos, que le permite ubicar vulnerabilidades conocidas para los controles de los banners, lo que hace que su informe de riesgo sea bastante completo.
Estas son algunas de las características que resaltan en su web:
- High speed: pure C code, highly optimized HTTP handling, minimal CPU footprint – easily achieving 2000 requests per second with responsive targets.
- Ease of use: heuristics to support a variety of quirky web frameworks and mixed-technology sites, with automatic learning capabilities, on-the-fly wordlist creation, and form autocompletion.
- Cutting-edge security logic: high quality, low false positive, differential security checks, capable of spotting a range of subtle flaws, including blind injection vectors.
The tool is believed to support Linux, FreeBSD, MacOS X, and Windows (Cygwin) environments.
Se puede descargar desde aquí.
Web del proyecto en googlecode.
