Комментарии 71
ох, шикарно! Попробуем обязательно.
Заодно вопрос к хабрасообществу: подскажите какое-нибудь веб-приложение, которое содержит максимальное количество уязвимостей, т.е. специально заточенное для тестирования эффективности сканеров, IDS-ок и Web Application Firewall'ов. Смысл в чем: есть аццки уязвимое веб приложение (в идеале регулярно обновляющееся, добавляя свежие типы и варианты уязвимостей), есть задача протестировать эффективность WAF'а и/или сканера веб-уязвимостей, натравливаем сканер на это приложение напрямую, получаем результат — 100500 уязвимостей найдено, затем прикрываем приложение средством защиты (WAF'ом), сканируем, смотрим — осталось незакрытыми 326 уязвимостей, значит эффективность защиты ~99.7%. Или тестируем сам сканер на тщательность: знаем, что приложение содержит 100500 уязвимостей, один сканер находит 28%, другой 76%, третий 83%. Выбор сканера очевиден.
Я смог найти только dwva (damn vulnerable web app), но в нем совсем мало разновидностей уязвимостей, по большому счету только CSS и SQL Inj. Где бы найти более продвинутое приложение такого класса?
Заодно вопрос к хабрасообществу: подскажите какое-нибудь веб-приложение, которое содержит максимальное количество уязвимостей, т.е. специально заточенное для тестирования эффективности сканеров, IDS-ок и Web Application Firewall'ов. Смысл в чем: есть аццки уязвимое веб приложение (в идеале регулярно обновляющееся, добавляя свежие типы и варианты уязвимостей), есть задача протестировать эффективность WAF'а и/или сканера веб-уязвимостей, натравливаем сканер на это приложение напрямую, получаем результат — 100500 уязвимостей найдено, затем прикрываем приложение средством защиты (WAF'ом), сканируем, смотрим — осталось незакрытыми 326 уязвимостей, значит эффективность защиты ~99.7%. Или тестируем сам сканер на тщательность: знаем, что приложение содержит 100500 уязвимостей, один сканер находит 28%, другой 76%, третий 83%. Выбор сканера очевиден.
Я смог найти только dwva (damn vulnerable web app), но в нем совсем мало разновидностей уязвимостей, по большому счету только CSS и SQL Inj. Где бы найти более продвинутое приложение такого класса?
НЛО прилетело и опубликовало эту надпись здесь
Вам самому-то не надоело ваше нытье?
Автору — большое спасибо, интересный инструмент, надо будет опробовать.
Автору — большое спасибо, интересный инструмент, надо будет опробовать.
Поздравляю, с 13-го января этого года вы смогли выбиться на -1 место… такое уметь надо… ^_^
Надеюсь тут удаляют хоть иногда пользователей которые в топе -10…
Надеюсь тут удаляют хоть иногда пользователей которые в топе -10…
НЛО прилетело и опубликовало эту надпись здесь
хаха)) душОнке
НЛО прилетело и опубликовало эту надпись здесь
)) это было написано специально для тебя
НЛО прилетело и опубликовало эту надпись здесь
а ты бреешь лобок или может быть даёшь в жопу?
feb-web.ru/feb/ushakov/ush-abc/05/us181914.htm
всё, ацтань
feb-web.ru/feb/ushakov/ush-abc/05/us181914.htm
всё, ацтань
)) не приятно познакомиться
Не надо их удалять, а то будет рафинировано и скучно. Все таки они не просто в топе "-10", но еще и вызывают, хм, горячие дискуссии.
вы быть может и пытаетесь доказать что вы не тролль,
но в таком случае — к чему тут ваш коментарий, кроме как для провокации.
Не вижу в нём другого умысла. Откройте мне глаза.
но в таком случае — к чему тут ваш коментарий, кроме как для провокации.
Не вижу в нём другого умысла. Откройте мне глаза.
НЛО прилетело и опубликовало эту надпись здесь
вы видимо не поняли вопроса, я уточню:
С какой целью вы написали свой комментарий?
и часто это с вами случается?
С какой целью вы написали свой комментарий?
При желании, можно провоцировать себя биться и башкой об стену, утверждая, что стена начала первой, чего я вам и желаю.
и часто это с вами случается?
Чтож неплохая новость для веб мастеров!
Linux, FreeBSD, MacOS X и Windows (требуется Cygwin)
Кросс платформенность-это хорошо!
Кросс платформенность-это хорошо!
Это не Google выпускает skipfish, просто проект размещен на Google сode.
обязательно попробую в действии. если будет время, напишу обзор.
Странно как-то… Разработчик опубликовал исходники в архиве, а в SVN-е пусто…
О, попробуйем-с
Вообще было бы круто если бы эту утилиту добавили в инструменты для вебмастеров и слали mail на контактный адрес что «вот в вашем сайте вот такая и такая дыра есть»
Надо признать, иногда Google выпускает очень хорошие и аккуратно сделанные вещи: под виндой и Cygwin скомпилировалась на раз (установить пару библиотек через GUI проблемой ника не назовешь), и даже цветныеми буквами пишет в консоли.
Кучу полезных опций уже заметил, думаю, стоит все свои сайты так тестировать.
Кучу полезных опций уже заметил, думаю, стоит все свои сайты так тестировать.
интересный инструмент, спасибо
чтобы скомпилить на debian, нужно: libssh-dev, libidn11
чтобы скомпилить на debian, нужно: libssh-dev, libidn11
Под бубунтой не могу скомпилить. ошибки начинаются с:
skipfish.c: В функции ‘main’:
skipfish.c:143: предупреждение: неявная декларация функции ‘SSL_library_init’
http_client.c:36:25: error: openssl/ssl.h: No such file or directory
http_client.c:37:25: error: openssl/err.h: No such file or directory
http_client.c:38:18: error: idna.h: No such file or directory
оба вам указанных пакета стоят, не поможете?
skipfish.c: В функции ‘main’:
skipfish.c:143: предупреждение: неявная декларация функции ‘SSL_library_init’
http_client.c:36:25: error: openssl/ssl.h: No such file or directory
http_client.c:37:25: error: openssl/err.h: No such file or directory
http_client.c:38:18: error: idna.h: No such file or directory
оба вам указанных пакета стоят, не поможете?
на виртуальной убунте server 9.04 встало после пакета libidn11-dev
провертье что точно стоит libssh-dev, проблема в нем: error: openssl/ssl.h: No such file or directory
провертье что точно стоит libssh-dev, проблема в нем: error: openssl/ssl.h: No such file or directory
Была такая же ошибка, поставил libssh-dev (и пару зависимостей) из репов, всё скомпилилось (Ubuntu 9.10)
root@ubuntu:~# cd /install/
root@ubuntu:/install# wget skipfish.googlecode.com/files/skipfish-1.05b.tgz
--2010-03-20 12:06:49-- skipfish.googlecode.com/files/skipfish-1.05b.tgz
Resolving skipfish.googlecode.com… 66.102.13.82
Connecting to skipfish.googlecode.com|66.102.13.82|:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 180023 (176K) [application/x-gzip]
Saving to: `skipfish-1.05b.tgz'
100%[==================================================================================>] 180,023 300K/s in 0.6s
2010-03-20 12:06:50 (300 KB/s) — `skipfish-1.05b.tgz' saved [180023/180023]
root@ubuntu:/install# tar -zxf skipfish-1.05b.tgz
root@ubuntu:/install# cd skipfish/
root@ubuntu:/install/skipfish# uname -a
Linux ubuntu 2.6.28-11-server #42-Ubuntu SMP Fri Apr 17 02:48:10 UTC 2009 i686 GNU/Linux
root@ubuntu:/install/skipfish# make
cc skipfish.c -o skipfish -Wall -funsigned-char -g -ggdb -D_FORTIFY_SOURCE=0 -O3 -Wno-format http_client.c database.c crawler.c analysis.c report.c -lcrypto -lssl -lidn -lz
http_client.c:38:18: error: idna.h: No such file or directory
http_client.c: In function ‘parse_url’:
http_client.c:275: warning: implicit declaration of function ‘idna_to_ascii_8z’
http_client.c:275: error: ‘IDNA_SUCCESS’ undeclared (first use in this function)
http_client.c:275: error: (Each undeclared identifier is reported only once
http_client.c:275: error: for each function it appears in.)
make: *** [skipfish] Error 1
root@ubuntu:/install/skipfish# apt-get install libidn
Reading package lists… Done
Building dependency tree
Reading state information… Done
E: Couldn't find package libidn
root@ubuntu:/install/skipfish# apt-get install libidn11
Reading package lists… Done
Building dependency tree
Reading state information… Done
libidn11 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 15 not upgraded.
root@ubuntu:/install/skipfish# apt-get install libidn11-dev
Reading package lists… Done
Building dependency tree
Reading state information… Done
The following NEW packages will be installed:
libidn11-dev
0 upgraded, 1 newly installed, 0 to remove and 15 not upgraded.
Need to get 614kB of archives.
After this operation, 1077kB of additional disk space will be used.
Get:1 us.archive.ubuntu.com jaunty/main libidn11-dev 1.10-3 [614kB]
Fetched 614kB in 1s (509kB/s)
Selecting previously deselected package libidn11-dev.
(Reading database… 63065 files and directories currently installed.)
Unpacking libidn11-dev (from .../libidn11-dev_1.10-3_i386.deb)…
Processing triggers for man-db…
Setting up libidn11-dev (1.10-3)…
root@ubuntu:/install/skipfish# make
cc skipfish.c -o skipfish -Wall -funsigned-char -g -ggdb -D_FORTIFY_SOURCE=0 -O3 -Wno-format http_client.c database.c crawler.c analysis.c report.c -lcrypto -lssl -lidn -lz
NOTE: See dictionaries/README-FIRST to pick a dictionary for the tool.
root@ubuntu:/install/skipfish# ls -l
total 864
…
-rwxr-xr-x 1 root root 429335 2010-03-20 12:08 skipfish
…
root@ubuntu:/install/skipfish#
root@ubuntu:/install# wget skipfish.googlecode.com/files/skipfish-1.05b.tgz
--2010-03-20 12:06:49-- skipfish.googlecode.com/files/skipfish-1.05b.tgz
Resolving skipfish.googlecode.com… 66.102.13.82
Connecting to skipfish.googlecode.com|66.102.13.82|:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 180023 (176K) [application/x-gzip]
Saving to: `skipfish-1.05b.tgz'
100%[==================================================================================>] 180,023 300K/s in 0.6s
2010-03-20 12:06:50 (300 KB/s) — `skipfish-1.05b.tgz' saved [180023/180023]
root@ubuntu:/install# tar -zxf skipfish-1.05b.tgz
root@ubuntu:/install# cd skipfish/
root@ubuntu:/install/skipfish# uname -a
Linux ubuntu 2.6.28-11-server #42-Ubuntu SMP Fri Apr 17 02:48:10 UTC 2009 i686 GNU/Linux
root@ubuntu:/install/skipfish# make
cc skipfish.c -o skipfish -Wall -funsigned-char -g -ggdb -D_FORTIFY_SOURCE=0 -O3 -Wno-format http_client.c database.c crawler.c analysis.c report.c -lcrypto -lssl -lidn -lz
http_client.c:38:18: error: idna.h: No such file or directory
http_client.c: In function ‘parse_url’:
http_client.c:275: warning: implicit declaration of function ‘idna_to_ascii_8z’
http_client.c:275: error: ‘IDNA_SUCCESS’ undeclared (first use in this function)
http_client.c:275: error: (Each undeclared identifier is reported only once
http_client.c:275: error: for each function it appears in.)
make: *** [skipfish] Error 1
root@ubuntu:/install/skipfish# apt-get install libidn
Reading package lists… Done
Building dependency tree
Reading state information… Done
E: Couldn't find package libidn
root@ubuntu:/install/skipfish# apt-get install libidn11
Reading package lists… Done
Building dependency tree
Reading state information… Done
libidn11 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 15 not upgraded.
root@ubuntu:/install/skipfish# apt-get install libidn11-dev
Reading package lists… Done
Building dependency tree
Reading state information… Done
The following NEW packages will be installed:
libidn11-dev
0 upgraded, 1 newly installed, 0 to remove and 15 not upgraded.
Need to get 614kB of archives.
After this operation, 1077kB of additional disk space will be used.
Get:1 us.archive.ubuntu.com jaunty/main libidn11-dev 1.10-3 [614kB]
Fetched 614kB in 1s (509kB/s)
Selecting previously deselected package libidn11-dev.
(Reading database… 63065 files and directories currently installed.)
Unpacking libidn11-dev (from .../libidn11-dev_1.10-3_i386.deb)…
Processing triggers for man-db…
Setting up libidn11-dev (1.10-3)…
root@ubuntu:/install/skipfish# make
cc skipfish.c -o skipfish -Wall -funsigned-char -g -ggdb -D_FORTIFY_SOURCE=0 -O3 -Wno-format http_client.c database.c crawler.c analysis.c report.c -lcrypto -lssl -lidn -lz
NOTE: See dictionaries/README-FIRST to pick a dictionary for the tool.
root@ubuntu:/install/skipfish# ls -l
total 864
…
-rwxr-xr-x 1 root root 429335 2010-03-20 12:08 skipfish
…
root@ubuntu:/install/skipfish#
Есть скомпиленный под Win?
ндя, по другому назваться они конечно не могли :)
Автор выкурил чего-то? Этот проект имеет отношение к гуглю только потому что хостится на code.google.com
замечение: приложение написано в «свободное время». Автор работает в гугле, но более никаких связей нет
# Written and maintained by Michal Zalewski <lcamtuf@google.com>.
# Copyright 2009, 2010 Google Inc, rights reserved.
code.google.com/p/skipfish/wiki/SkipfishDoc
Michał Zalewski (born 19 January 1981) is a «white hat» hacker and computer security expert from Poland.
Zalewski is an employee of Google Inc.
en.wikipedia.org/wiki/Micha%C5%82_Zalewski
# Copyright 2009, 2010 Google Inc, rights reserved.
code.google.com/p/skipfish/wiki/SkipfishDoc
Michał Zalewski (born 19 January 1981) is a «white hat» hacker and computer security expert from Poland.
Zalewski is an employee of Google Inc.
en.wikipedia.org/wiki/Micha%C5%82_Zalewski
Читайте внимательно. Я курю табак.
Не компилится на маке:
cc skipfish.c -o skipfish -Wall -funsigned-char -g -ggdb -D_FORTIFY_SOURCE=0 -O3 -Wno-format http_client.c database.c crawler.c analysis.c report.c -lcrypto -lssl -lidn -lz
http_client.c:38:18: error: idna.h: No such file or directory
http_client.c: In function ‘parse_url’:
http_client.c:275: warning: implicit declaration of function ‘idna_to_ascii_8z’
http_client.c:275: error: ‘IDNA_SUCCESS’ undeclared (first use in this function)
http_client.c:275: error: (Each undeclared identifier is reported only once
http_client.c:275: error: for each function it appears in.)
report.c: In function ‘copy_static_code’:
report.c:744: warning: passing argument 3 of ‘scandir’ from incompatible pointer type
make: *** [skipfish] Error 1
cc skipfish.c -o skipfish -Wall -funsigned-char -g -ggdb -D_FORTIFY_SOURCE=0 -O3 -Wno-format http_client.c database.c crawler.c analysis.c report.c -lcrypto -lssl -lidn -lz
http_client.c:38:18: error: idna.h: No such file or directory
http_client.c: In function ‘parse_url’:
http_client.c:275: warning: implicit declaration of function ‘idna_to_ascii_8z’
http_client.c:275: error: ‘IDNA_SUCCESS’ undeclared (first use in this function)
http_client.c:275: error: (Each undeclared identifier is reported only once
http_client.c:275: error: for each function it appears in.)
report.c: In function ‘copy_static_code’:
report.c:744: warning: passing argument 3 of ‘scandir’ from incompatible pointer type
make: *** [skipfish] Error 1
нужен libidn
Сделайте
wget ftp.gnu.org/gnu/libidn/libidn-1.18.tar.gz
tar zxf libidn-1.18.tar.gz
cd libidn-1.18
./configure
make
sudo make install
cd ../skipfish
make
заработает.
wget ftp.gnu.org/gnu/libidn/libidn-1.18.tar.gz
tar zxf libidn-1.18.tar.gz
cd libidn-1.18
./configure
make
sudo make install
cd ../skipfish
make
заработает.
НЛО прилетело и опубликовало эту надпись здесь
Для установки на маке с использованием библиотек из macports, нужно немного поправить Makefile (добавления выделены жирным):
CFLAGS_GEN = -I/opt/local/include -Wall -funsigned-char -g -ggdb -D_FORTIFY_SOURCE=0
CFLAGS_DBG = $(CFLAGS_GEN) -DLOG_STDERR=1 -DDEBUG_ALLOCATOR=1
CFLAGS_OPT = $(CFLAGS_GEN) -O3 -Wno-format
LDFLAGS = -L/opt/local/lib -lcrypto -lssl -lidn -lz
CFLAGS_GEN = -I/opt/local/include -Wall -funsigned-char -g -ggdb -D_FORTIFY_SOURCE=0
CFLAGS_DBG = $(CFLAGS_GEN) -DLOG_STDERR=1 -DDEBUG_ALLOCATOR=1
CFLAGS_OPT = $(CFLAGS_GEN) -O3 -Wno-format
LDFLAGS = -L/opt/local/lib -lcrypto -lssl -lidn -lz
Что поискать в Google чтобы запустить под windows?
Как его на Cygwin скомпилить??? Помогите плииз.
гугл выпускает софт для ddos? 2000 запросов в сек это нечто. На странице Service Unavalible нет уязвимостей
Может кто-нибудь соберет .deb и поделится?
Поддержу протестующих. Google не имеет отношения к этому проекту, за исключением того что его написал один из инженеров Google в свободное время. С таким же успехом можно писать «Google выпустил новую версию Vim», только лишь на основании того что Moolenaar там работает.
Для компиляции в windows, нужно установить Cygwin и доставить в него следующие пакеты:
— gcc
— libidn
— openssl
— zlib
— make
Далее из Cygwin заходим в папку skipfish и набираем «make». После этого в папке появится exe-шник.
— gcc
— libidn
— openssl
— zlib
— make
Далее из Cygwin заходим в папку skipfish и набираем «make». После этого в папке появится exe-шник.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Google выпускает skipfish — сканер безопасности сетевых приложений