■[WebSec][Tools]skipfish:2010-03-23 - SecuDiary(情報元のブックマーク数)
d:id:hiro-t:detailさんによる、skipfishの動作レポート。詳細は別途って感じかな。
Google製のActive Webアプリケーションスキャナ。コマンドラインのスキャナだが、自動的にクロールしてSQLインジェクションやXSSを検知できるそうだ。Cで書かれているから高速だとか、使い方が簡単とかの特徴がある。
2010-03-23
手元のCentOSでコンパイルしてみたところ、それほど手間がかからずバイナリができた。
人が見る前提で記録をしているところが良いなぁ。
設定の仕方がまずいのかも知れないが、脆弱性を全部検出することはできなかった。脆弱性を発見したときは、URL毎に"show trace"というボタンが表示され、それを押すとHTTPリクエストとレスポンスが表示されるので、誤検知の判断はしやすいと思う。
2010-03-23