Your SlideShare is downloading. ×

Skipfish

715
views

Published on

Plática de Skipfish en Campus Party MX 2010

Plática de Skipfish en Campus Party MX 2010

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
715
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Skipfish mauropm@gmail.com
  • 2. ¿Qué es Skipfish? ● Un sistema automático para escanear vulnerabilidades en sitios web. ● Es rápido: Puede hacer 500+ requests por segundo a sitios web, 2000+ en sitios dentro de tu lan/wan y 7000+ requests en máquinas locales. ● Fácil de usar: usa heuristicas para reconocer patterns que uno pueda atacar, genera diccionarios automáticos – aprende--, analisis probabilistico para pegarle en varios lados en sitios complejos. ● Analisis varios de seguridad.
  • 3. Más detalles... ● Skipfish aplica diversas heuristicas para poder identificar problemas comunes como: ● SQL Injection ● XML/XPath injection ● HTTP PUT ● Sintaxis sql en post/get. ● Integer overflow ● Problemas de MIME-charset ● Directivas incorrectas de cache ● Cross-site scripting XSS
  • 4. Etica ● Skipfish es una herramienta de gran poder. ● Con un gran poder, viene una gran responsabilidad: usa skipfish unicamente para tus propios sitios web para hacer analisis de seguridad. ● Ten cuidado en no aplicar eso en un servidor de producción, podría literalmente tirarlo. ● De nuevo: solo usa esta herramienta en tus propios sitios
  • 5. Para probarlo... ● Baja el último código desde: http://code.google.com/p/skipfish ● Desempaqueta: ● tar xzvf skipfish-1.55b.tgz ● cd skipfish-1.55b ● Make ● Listo!
  • 6. Ejecutando el programa ● Para correr el programa: ./skipfish -o output http://www.example.com ● Y a esperar. ● Veamos una prueba...
  • 7. Simulación de DOS ● Aparte de funcionar para ver los posibles hoyos de seguridad de tu app, tambien te ayuda a simular un ataque de DOS en tu app; para que veas como reaccionaria y que estrategía pudieras tomar. ● Yo revise un servidor (de producción) y... se cayo! YAY! Gran sabado. #NOT ● Repito, no lo hagan en casa sin la supervisión de un adulto ;)
  • 8. Recomendaciones ● Es importante que en cualquier sitio web que creen, revisen al menos con una herramienta como esta la seguridad de su sitio: tal vez apuntara a cosas obvias que podrian ser facilmente arreglables. ● Compartan estas ideas básicas con sus colegas desarrolladores: ellos lo agradeceran. Especialmente si se trata de un sitio bastante expuesto.
  • 9. Ligas ● Skipfish - http://code.google.com/p/skipfish ● Docs skipfish - http://code.google.com/p/skipfish/wiki/SkipfishDoc ● Presentación - http://www.slideshare.net/mauropm ● Preguntas o comentarios - mauropm@gmail.com

×