HARD CORE SECURITY LAB

Google wydało własny skaner aplikacji webowych pod nazwą Skipfish. Darmowy skaner został stworzony aby współpracować z wieloma istniejącymi frameworkami aplikacji webowych oraz z naciskiem na prędkość i niski błąd klasyfikacji (tzw. błąd pierwszego rodzaju).

Skipfish wchodzi na już zatłoczony rynek narzędzi do testowania bezpieczeństwa aplikacji web. Konkurencją dla niego będą także firmy specjalizujące się w testowaniu aplikacji takie jak WhiteHat, Cenzic oraz wiele innych. Google oświadczyło, że Skipfish ma być łatwy w użyciu, szybki oraz bezbłędny.

Według dokumentacji skanera:

Skipfish jest narzędziem do rozpoznawania zabezpieczeń działających aplikacji webowych. Na początku skaner przygotowuje interaktywną mapę witryny poprzez robota odwiedzającego rekursywnie każdą stronę oraz próby słownikowe. Mapa wynikowa jest następnie opatrzona wynikami z liczbą aktywnych (miejmy nadzieję nieprzerywalnych) testów bezpieczeństwa. Końcowy raport wygenerowany przez narzędzie ma służyć jako podstawa do profesjonalnej oceny bezpieczeństwa aplikacji internetowej.

Jednakże wydaje się, że skaner Skipfish nie ma być zamiennikiem dla komercyjnych skanerów. W dokumentacji Google stwierdza, że skaner nie spełnia wielu kryteriów oceny określonych przez Web Application Security Consortium (WASC) dla skanerów, a także “obszernej bazy danych znanych luk typu banner-type”.

Warto zaznaczyć, iż aplikacja została napisana i jest utrzymywana przez polskiego hakera Michała Zalewskiego znanego jako lcamtuf.

Źródło: Google wydało Skipfish, skaner bezpieczeństwa aplikacji internetowych (OSnews.pl)