Google hat mit dem Skipfish Projekt ein Sicherheitstool veröffentlicht, mit dem Webanwendungen auf ihre Sicherheit – oder auch Sicherheitslücken untersucht werden können.

Das in C++ Programm unterstützt Windows, Apple Mac OS X und Ubuntu als Betriebssysteme und – wie für Google üblich – wird die besonderes hohe Performanz als Feature genannt. Im folgenden gehe ich kurz die Schritte durch, Skipfish unter Ubuntu Linux zu betreiben.Vorweg noch der Hinweis: Skipfish ist am besten für den Einsatz lokal oder im LAN geeignet, auch sollte kein Produktivsystem mit Skipfish untersucht werden, da eine sehr hohe Anzahl von Requests stattfinden. Natuerlich gilt insbesondere „Finger weg von fremden Systemen“, hier sind zivil- und strafrechtliche Konsequenzen zu erwarten.

Jetzt aber zur Installation:

  • sudo apt-get install libidn11-dev libssl-dev (fals noch nicht installiert)
  • Skipfish herunter laden von Google Code: http://code.google.com/p/skipfish/
  • Auspacken, im Verzeichnis „make“ eingeben
  • Aus dem dictionaries Ordner ein Woerterbuch, z.B. „minimal.wl“ nach „skipfish.wl“ in den Hauptordner kopieren
  • Starten mittels skipfish <URL>

Weitere Informationen zu Skipfish und Bedienung finden sich auch in der Anleitung des Webapplikation-Security Scanners im Wiki: http://code.google.com/p/skipfish/wiki/SkipfishDoc

Der Report von skipfish ist in HTML und für meinen Geschmack etwas zu „kinder-it“, aber mit einer gut zu bedienenden dynamischen Oberfläche.