2011年5月30日月曜日

"skipfish"でWebアプリのセキュリティ診断

スズキです。

Googleが"skipfish"というWebアプリのセキュリティ診断ツールを公開しているので、
ちょっと試してみました。

コチラより最新版をダウンロードして"make"コマンドを実行すると、
下記のように"skipfish"バイナリが作成されます。

# curl -OL http://skipfish.googlecode.com/files/skipfish-1.88b.tgz
# tar xvzf skipfish-1.88b.tgz
# cd skipfish-1.88b
# make
cc -L/usr/local/lib/ -L/opt/local/lib skipfish.c -o skipfish -O3 -Wno-format -Wall -funsigned-char -g -ggdb -I/usr/local/include/ -I/opt/local/include/  -DVERSION=\"1.88b\" \
              http_client.c database.c crawler.c analysis.c report.c -lcrypto -lssl -lidn -lz
See dictionaries/README-FIRST to pick a dictionary for the tool.
Having problems with your scans? Be sure to visit:
http://code.google.com/p/skipfish/wiki/KnownIssues
# ls skipfish
skipfish

とりあえず、下記のように実行してみるとスキャンが始まります。

# ./skipfish -W dictionaries/minimal.wl -o /tmp/skipfish http://localhost/

スキャンが終わると、"/tmp/skipfish"以下に
下記のような結果レポート(HTML)が出力されます。


Googleのツールはよく出来てるなー...
--------
http://www.suz-lab.com

0 コメント: