Skipfish

765 views

Published on

Published in: Technology
1 Comment
1 Like
Statistics
Notes
No Downloads
Views
Total views
765
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
4
Comments
1
Likes
1
Embeds 0
No embeds

No notes for slide

Skipfish

  1. 1. Skipfish mauropm@gmail.com
  2. 2. ¿Qué es Skipfish? ● Un sistema automático para escanear vulnerabilidades en sitios web. ● Es rápido: Puede hacer 500+ requests por segundo a sitios web, 2000+ en sitios dentro de tu lan/wan y 7000+ requests en máquinas locales. ● Fácil de usar: usa heuristicas para reconocer patterns que uno pueda atacar, genera diccionarios automáticos – aprende--, analisis probabilistico para pegarle en varios lados en sitios complejos. ● Analisis varios de seguridad.
  3. 3. Más detalles... ● Skipfish aplica diversas heuristicas para poder identificar problemas comunes como: ● SQL Injection ● XML/XPath injection ● HTTP PUT ● Sintaxis sql en post/get. ● Integer overflow...
  4. 4. Etica ● Skipfish es una herramienta de gran poder. ● Con un gran poder, viene una gran responsabilidad: usa skipfish unicamente para tus propios sitios web para hacer analisis de seguridad. ● Ten cuidado en no aplicar eso en un servidor de producción, podría literalmente tirarlo. ● De nuevo: solo usa esta herramienta en tus propios sitios
  5. 5. Para probarlo... ● Baja el último código desde: http://code.google.com/p/skipfish ● Desempaqueta: ● tar xzvf skipfish-1.55b.tgz ● cd skipfish-1.55b ● Make ● Listo!
  6. 6. Ejecutando el programa ● Para correr el programa: ./skipfish -o output http://www.example.com ● Y a esperar. ● Veamos una prueba...
  7. 7. Recomendaciones ● Es importante que en cualquier sitio web que creen, revisen al menos con una herramienta como esta la seguridad de su sitio: tal vez apuntara a cosas obvias que podrian ser facilmente arreglables. ● Compartan estas ideas básicas con sus colegas desarrolladores: ellos lo agradeceran. Especialmente si se trata de un sitio bastante expuesto.
  8. 8. Ligas ● Skipfish - http://code.google.com/p/skipfish ● Docs skipfish - http://code.google.com/p/skipfish/wiki/SkipfishDoc ● Presentación - http://www.slideshare.net/mauropm ● Preguntas o comentarios - mauropm@gmail.com

×