Hace un tiempo que google ha sacado su propia herramienta de scanneo de vulnerabilidades web, la cual es gratuita y de código abierto.Si bien puede decirse que cumple en algo con la promesa con la cual salió a la luz (reportar menos casos de falsos positivos y mayor rapidez), continúa siendo una más de las tantas que deberíamos de utilizar dentro de nuestro trabajo/investigación/educación.
Skipfish está escrito intégramente en “C”, se distribuye gratuitamente bajo una Licencia Apache versión 2.0 y está disponible para sistemas GNU/Linux, FreeBSD 7.0+, MacOS X y Windows (Cygwin). A su vez dispone de una capacidad para procesar aproximadamente 2000 peticiones HTTP por segundo y hasta 7000 si son en máquinas locales, sin elevar demasiado el consumo de uso de CPU y de memoria en los servidores.
Llama la atención el diccionario que utiliza para escanear directorios o archivos ubicados en el servidor, ya que al parecer ha sido creado utilizando la misma técnica/conocimiento del crawler de Google, lo que brinda una mayor posibilidad de encontrar archivos no indexados.Hay que tener cuidado en el momento de utilizar esta herramienta ya que podría llegar a causar un DoS.
Alertas:
* Alertas de riesgo alto:
o Server-side SQL injection (including blind vectors, numerical parameters).
o Explicit SQL-like syntax in GET or POST parameters.
o Server-side shell command injection (including blind vectors).
o Server-side XML / XPath injection (including blind vectors).
o Format string vulnerabilities.
o Integer overflow vulnerabilities.
* Alertas de riesgo medio:
o Stored and reflected XSS vectors in document body (minimal JS XSS support present).
o Stored and reflected XSS vectors via HTTP redirects.
o Stored and reflected XSS vectors via HTTP header splitting.
o Directory traversal (including constrained vectors).
o Assorted file POIs (server-side sources, configs, etc).
o Attacker-supplied script and CSS inclusion vectors (stored and reflected).
o External untrusted script and CSS inclusion vectors.
o Mixed content problems on script and CSS resources (optional).
o Incorrect or missing MIME types on renderables.
o Generic MIME types on renderables.
o Incorrect or missing charsets on renderables.
o Conflicting MIME / charset info on renderables.
o Bad caching directives on cookie setting responses.
* Alertas de bajo riesgo:
o Directory listing bypass vectors.
o Redirection to attacker-supplied URLs (stored and reflected).
o Attacker-supplied embedded content (stored and reflected).
o External untrusted embedded content.
o Mixed content on non-scriptable subresources (optional).
o HTTP credentials in URLs.
o Expired or not-yet-valid SSL certificates.
o HTML forms with no XSRF protection.
o Self-signed SSL certificates.
o SSL certificate host name mismatches.
o Bad caching directives on less sensitive content.
* Alertas internas:
o Failed resource fetch attempts.
o Exceeded crawl limits.
o Failed 404 behavior checks.
o IPS filtering detected.
o Unexpected response variations.
o Seemingly misclassified crawl nodes.
* Otros datos de interés:
o General SSL certificate information.
o Significantly changing HTTP cookies.
o Changing Server, Via, or X-… headers.
o New 404 signatures.
o Resources that cannot be accessed.
o Resources requiring HTTP authentication.
o Broken links.
o Server errors.
o All external links not classified otherwise (optional).
o All external e-mails (optional).
o All external URL redirectors (optional).
o Links to unknown protocols.
o Form fields that could not be autocompleted.
o All HTML forms detected.
o Password entry forms (for external brute-force).
o Numerical file names (for external brute-force).
o User-supplied links otherwise rendered on a page.
o Incorrect or missing MIME type on less significant content.
o Generic MIME type on less significant content.
o Incorrect or missing charset on less significant content.
o Conflicting MIME / charset information on less significant content.
o OGNL-like parameter passing conventions.
Instalación:
Descargar la última versión desde: http://code.google.com/p/skipfish
● tar xzvf skipfish-1.55b.tgz
● cd skipfish-1.55b
● Make
● Listo!
Uso:
Antes de utilizar la herramienta por primera vez, hay que generar el diccionario, o mejor dicho copiar/renombrar uno que ya trae de muestra:
cp /skipfishDIR/dictionaries/default.wl /skipfishDIR/skipfish.wl
Ahora si:
./skipfish -o output http://www.misitioweb.com
Luego solo nos resta esperar y ver los resultados para su posterior análisis.
Fuentes consultadas para la creación de este artículo:
Syswoody
Cool2k’s Weblog
DaboWeb
InfoMalwares