skipfish

le 28/03/2010 à 22:19
skipfish
skipfish est un scanner de sécurité pour les applications web que Google propose. Cette nouvelle API est une version bêta et comme toutes applications de sécurité, elle est à tester avant de l'utiliser à 100 %.

Ce nouveau scanner est disponible pour les principaux OS (Linux, FreeBSD, Mac, Windows...) et propose les mêmes fonctionnalités que Nmap ou Nessus. Ce qui le différencie par rapport aux autres concerne la rapidité d'exécution.

Les différents tests effectués avec cet outil affichent l'exécution de 2000 requêtes HTTP par seconde. Bien entendu, il permet de repérer les risques d'attaque du type Cross-site scripting (XSS), injection SQL, XML...

- skipfish
- Doc skipfish

A lire également

Google a récemment levé le voile sur SkipFish, un outil publié sous licence Apache 2.0 permettant de détecter les failles au sein des applications web. L'outil procède à certaines actions basiques qu'une personne malintentionnée pourrait mettre en oeuvre afin de hacker un site Internet.

Son créateur, Michal Zalewski, explique que Skipfish peut par exemple tenter de simuler une attaque par injection que code SQL ou XML ou encore en essayer de s'authentifier via une connexion SSL. En tout cet outil serait capable d'opérer 500 requêtes par seconde et plus de 7000 sur un réseau local.

Skipfish se révèlerait moins gourmand en mémoire que les solutions existantes telles que Niktot ou Nessus mais également plus facile d'utilisation et présentant des résultats de meilleure qualité. Son créateur ajoute tout de même : "Skipfish n'est pas pour autant le remède miracle et peut ne pas être adapté à certains cas de figure.". Par exemple, l'outil ne prend pas en compte tous les criotères énumérés par l'organisme de sécurité WASC (Web Application Security Consortium).

Les développeurs web souhaitant en savoir davantage peuvent se rendre sur cette page.

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours