Об инструменте SkipFish
В этой статье про сканер веб-приложений SkipFish от Google: что за инструмент, в чём его особенности и как использовать.
Что такое SkipFish
Инструмент, который ищет уязвимости веб-приложений. Выполняет рекурсивное сканирование → ищет на основе словаря → создает интерактивную карту целевого сайта.
Карта затем аннотируется выводом ряда активных проверок безопасности. Окончательный отчет → основа для оценки безопасности веб-приложения.
В чем особенности SkipFish
— Высокая производительность при экономном использовании процессора и памяти. — Автоматическое построение списка слов на основе анализа контента сайта. — Связанные проверки безопасности для обработки сложных сценариев: слепая инъекция SQL, XML и др. — Постобработка отчетов. Это снижает шум, вызванный ложными срабатываниями или уловками сервера, путем выявления повторяющихся шаблонов.
Как использовать SkipFish на Kali Linux
SkipFish по умолчанию установлен в полной версии Kali Linux. Если в вашей версии его нет, тогда установите его через apt:
2. Открываем справку и изучаем параметры использования:
3. Для примера просканируем localhost:
Параметр -o → позволяет выбрать каталог для сохранения отчета (у нас это SkipfishTEST).
4. После команды появится меню. Нужно подождать 60 секунд, чтобы начать сканирование, или нажать любую клавишу для запуска.
5. SkipFish начнет поиск. Время зависит от размера целевого веб-приложения и скорости интернет подключения.
6. Чтобы получить информацию о процессе сканирования → жмём пробел.
7. После сканирования → SkipFish создаст отчет.
8. Для просмотра отчета → открываем в браузере файл index.html.
9. Если нашли уязвимость → кликайте на нее. Так получите инфу.
Last updated
