Oggi parliamo di reti internet, in particolare di un utilissimo strumento sul quale i webmaster dovrebbero farci un pensierino. Sto parlando di Skipfish, il nuovo web scanner che testa la vulnerabilità di un sito web. Lo sviluppatore Michał Zalewski afferma che uno dei punti di forza di Skipfish sia la sua velocità di esecuzione, infatti essendo ottimizzato per le scansioni HTTP e scritto in C riesce a processare più di 7 000 richieste al secondo in locale, 2 000 su rete LAN e circa 500 su nodi internet comuni, compatibilmente con le capacità del server remoto. Il suo secondo punto di forza è il fatto che il software sia in grado di rilevare problemi comuni come cross-site scripting attacks (XSS), XML injection e molto altro, inoltre genera un report che semplifica la comprensione dei dati raccolti.
Skipfish permette di analizzare un sito Web partendo da una sitemap generata interattivamente tramite metodi brute force per cercare il maggior numero di nodi possibili; segue un’analisi ricorsiva che può far riferimento a un database locale per ottimizzare ulteriormente i tempi di scansione.
Una volta lanciato verso un server web sul terminale si viene aggiornati in tempo reale sui dati più importanti della scansione in corso.
Skipfish, come ho già detto, è scritto in C, è rilasciato sotto licenza Apache, quindi Open Source ed è sponsorizzato e ospitato alla pagina http://code.google.com/p/skipfish/ su Google Code.
Per Ubuntu il programma è già nei repository ufficiali:
deb http://it.archive.ubuntu.com/ubuntu/ natty universe
quindi se volete installare lo da qui bisogna solo dare da terminale:
sudo apt-get install skipfish
Se invece preferite installarlo da PPA dovete aggiungere il repository:
deb http://ppa.launchpad.net/backbox/two/ubuntu/ natty main
con il comando:
sudo add-apt repository ppa:backbox/two
e installare il programma eseguendo:
sudo apt-get update & sudo apt-get install skipfish
Qui di seguito allego anche i repository per coloro che avessero una versione precedente di Ubuntu oppure Debian:
deb http://it.archive.ubuntu.com/ubuntu/ maverick universe
deb http://ppa.launchpad.net/urs-krebs/ppa/ubuntu/ maverick main
deb http://ppa.launchpad.net/mez/mez-mf/ubuntu/ lucid main
deb http://ftp.debian.org/debian/ stable (testing o sid) main contrib non-free
Alla prossima!