Об инструменте SkipFish

Что такое SkipFish

Инструмент, который ищет уязвимости веб-приложений. Выполняет рекурсивное сканирование → ищет на основе словаря → создает интерактивную карту целевого сайта.

Карта затем аннотируется выводом ряда активных проверок безопасности. Окончательный отчет → основа для оценки безопасности веб-приложения.

В чем особенности SkipFish

— Высокая производительность при экономном использовании процессора и памяти. — Автоматическое построение списка слов на основе анализа контента сайта. — Связанные проверки безопасности для обработки сложных сценариев: слепая инъекция SQL, XML и др. — Постобработка отчетов. Это снижает шум, вызванный ложными срабатываниями или уловками сервера, путем выявления повторяющихся шаблонов.

Как использовать SkipFish на Kali Linux

1. SkipFish по умолчанию установлен в полной версии Kali Linux. Если в вашей версии его нет, тогда установите его через apt:

sudo apt install skipfish

2. Открываем справку и изучаем параметры использования:

sudo skipfish -h

3. Для примера просканируем localhost:

Параметр -o → позволяет выбрать каталог для сохранения отчета (у нас это SkipfishTEST).

4. После команды появится меню. Нужно подождать 60 секунд, чтобы начать сканирование, или нажать любую клавишу для запуска.

5. SkipFish начнет поиск. Время зависит от размера целевого веб-приложения и скорости интернет подключения.

6. Чтобы получить информацию о процессе сканирования → жмём пробел.

7. После сканирования → SkipFish создаст отчет.

8. Для просмотра отчета → открываем в браузере файл index.html.

9. Если нашли уязвимость → кликайте на нее. Так получите инфу.