Scanner de segurança SKIPFISH do Google para sites

Descrevo algumas das muitas práticas ofensivas na web e o mais novo software open source para detectar falhas em sites, tanto na programação e outras ameaças mais comuns da rede. Fornecido e patrocinado pelo gigante Google.

[ Hits: 24.228 ]

Por: Paulo Roberto Junior - WoLF em 14/04/2010


Instalando e usando o Skipfish do Google



Agora vamos para a etapa de instalar e utilizar a ferramenta.

Primeiramente vamos preparar um ambiente básico:

Computador com sistema operacional Linux com kernel igual ou superior ao 2.4, recomendável 2.6.x.x.

Dependências e ferramentas requeridas:
  • GNU C Compilador
  • GNU Make
  • GNU C Library
  • zlib
  • OpenSSL
  • libidn (mais importante e chato de implementar)

Agora vamos para a etapa de instalar e utilizar a ferramenta.

O próximo passo é efetuar o download do pacote binário para que possamos compilar e testar.

Efetue o download em:
No momento que escrevo este artigo ele está na versão 1.30, em apenas 2 dias 3 dias já foi alterado, isto prova que o projeto está em constante mudança e novas funções estarão disponíveis.

Após o download precisamos descompactar o pacote.

Dúvidas?

No terminal (shell) de sua preferência, digite o comando:

# tar -vzxf skipfish-1.30b.tgz

Após a descompressão, acesse a pasta gerada e vamos compilar o programa.

# make

Sim, somente isto, nada de .config, make all, make install, make clean, basta compilar.

ERRO? Ok, veja se apresentou isto:

# make
cc -L/usr/local/lib/ -L/opt/local/lib skipfish.c -o skipfish -O3 -Wno-format -Wall -funsigned-char -g -ggdb -D_FORTIFY_SOURCE=0 -I/usr/local/include/ -I/opt/local/include/ \http_client.c database.c crawler.c analysis.c report.c -lcrypto -l ssl -lidn -lz
http_client.c:39:18: error: idna.h: No such file or directory
http_client.c: In function âparse_urlâ:
http_client.c:277: warning: implicit declaration of function âidna_to_ascii_8zâ
http_client.c:277: error: âIDNA_SUCCESSâ undeclared (first use in this function)
http_client.c:277: error: (Each undeclared identifier is reported only once
http_client.c:277: error: for each function it appears in.)
make: *** [skipfish] Error 1

Isto se deve pois você não possui o libidn11-dev, para isto basta um simples apt-get:

# apt-get install libidn11-dev

Repita o processo "make".

Ainda com erros na compilação? Sem problemas, isto deve resolver:

# apt-get install libssl-dev build-essential zlibc zlib-bin libidn11-dev libidn11

Repita o procedimento anterior.

Agora precisamos copiar um arquivo de dicionário de dados desejado da subpasta "dictionaries" para o arquivo skipfish.wl.

Qualquer dúvida consulte o arquivo README-FIRST, localizado na mesma subpasta "dictionaries".

Existem diversos dicionários, escolha um. Mas lembre-se a escolha dele implicará na performance dos testes. Pela web você poderá encontrar muitos dicionários modificados, uns melhores que outros.

Com o dicionário escolhido, vamos:

# ./skipfish -o output_dir http://www.site.com.br/teste/skipfish-start/path.txt

Sites com autenticação simples?

# ./skipfish -A usuário:senha ...parâmetros...

Testar uma porta específica?

# ./skipfish -I http://site.com.br:1234/

Existem muitas formas de utilizá-lo, bem como parâmetros, comandos.

Teste estilo brute force:

# ./skipfish -B .site.com.br -O -o output_dir -t 5 http://www.sites.com.br/

A lista de comandos por ser acessada por:

# ./skipfish -h
Linux: Scanner de Segurança SKIPFISH do Google para sites
Espero que tenham gostado desta contribuição.

Ainda haverão muitas modificações e melhorias neste sistema e quem sabe criamos algo parecido ou o modificamos.

Paulo Roberto Junior

Portal pessoal: http://www.paulojr.info
Perfil no VOL: http://www.vivaolinux.com.br/~paulorvojr
Outros artigos: http://www.vivaolinux.com.br/artigos/userview.php?login=paulorvojr

Página anterior    

Páginas do artigo
   1. Introdução
   2. Instalando e usando o Skipfish do Google
Outros artigos deste autor

Novo EyeOS - Sistema Operacional de Computação nas Nuvens

Servidor de monitoramento Nagios

Twitter Clone - Floopo - Mais um Micro blogging open source

Laconica - Twitter? Open source? Sim! Eis nosso microbloging de código aberto

GINGA - Software Livre para TV Digital Brasileira

Leitura recomendada

Instalando VirtualBox 4.0 no CentOS 5.5

Instalando e configurando o VirtualBox

Compiz Fusion no Ubuntu

Seu Slackware atualizado com SWARET

Formatando texto no Open Office

  
Comentários
[1] Comentário enviado por mbfagundes em 14/04/2010 - 08:09h

Otima descrição do serviço. Parabens

[2] Comentário enviado por luizvieira em 14/04/2010 - 09:31h

Muito artigo Paulo!
Eu não conhecia essa ferramenta.
E valeu pelo artigo citado :-)
[ ]'s

[3] Comentário enviado por valterrezendeeng em 14/04/2010 - 09:50h

Bom Artigo e Otimo assunto

Segurança é sempre muito importate.

[4] Comentário enviado por grandmaster em 03/05/2010 - 17:33h

Não conhecia a ferramente, alguém ja chegou a usar?

--
Renato de Castro Henriques
ITILv3 Foundation Certified
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[5] Comentário enviado por Staypuff em 10/05/2010 - 13:44h

Não conhecia a ferramenta, segurança nunca é demais.

[6] Comentário enviado por djoni filho em 28/08/2012 - 13:04h

Excelentes dicas. Quem teve problemas relacionados à instalação do libssl-dev, parecido com esse:

"libssl-dev: Depends: libssl0.9.8 (= 0.9.8k-7ubuntu8.6) but 0.9.8k-7ubuntu8.8 is to be installed"

É só abrir o arquivo sources.list, que encontra-se em /etc/apt, e adicionar a seguinte linha ao documento:

deb http://security.ubuntu.com/ubuntu lucid-security main

Depois é só ir no terminal, digitar apt-get update, e tentar instalar o libssl-dev novamente. (Fonte www.backtrack-linux.org)


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts