Skipfish: Security-Scanner für Webapplikationen

Google verspricht automatisierte Prüfung mit hoher Geschwindigkeit. Mit Skipfish hat Google einen Sicherheitsscanner für Webapplikationen als Open Source freigegeben. Skipfish überprüft Webapplikationen weitgehend automatisiert auf diverse Sicherheitslücken und soll dabei besonders schnell sein.

23. März 2010 um 09:47 Uhr / Jens Ihlenfeld

2 Kommentare News folgen (öffnet im neuen Fenster)

Skipfish erstellt durch rekursives Crawlen eine interaktive Sitemap einer Website. Anschließend wird die Sitemap mit den Ergebnissen diverser Sicherheitsprüfungen ergänzt. Skipfish-Entwickler Michal Zalewski verspricht(öffnet im neuen Fenster) dabei vor allem eine hohe Geschwindigkeit: Die in C geschriebene Software soll bei geringer CPU-Belastung rund 2.000 Anfragen pro Sekunde im lokalen Netzwerk absetzen können. Läuft Skipfish auf dem gleichen Rechner wie die Applikation, hat Zalewski bei normaler Hardware mehr als 7.000 Anfragen pro Sekunde erreicht. Bei Zielen im Internet waren es gut 500 Anfragen pro Sekunde.

Dank der heuristischen Herangehensweise von Skipfish gekoppelt mit einem selbstlernenden Algorithmus soll dessen Benutzung besonders einfach sein. Wortlisten werden dabei on-the-fly erstellt und Formulare automatisch ausgefüllt.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: KI-Bilderkennung in Python - Deep Learning mit Keras: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Crashkurs für das Projektmanagement Tool Goodlance (E-Learning)

zum Kurs

Die Sicherheitsprüfungen wurden daraufhin optimiert, möglichst wenig falsche Alarme zu produzieren. Den " WASC Web Application Security Scanner Evaluation Criteria(öffnet im neuen Fenster) " folgt die Software laut Zalewski nur zu einem kleinen Teil. Geprüft werden unter anderem serverseitige SQL-Injections, SQL-Syntax in GET- und POST-Parametern, das Einschleusen von Shell-Befehlen und das Produzieren von Integer-Überläufen. Auch Cross-Site-Scripting wird in diversen Varianten getestet. Eine Übersicht der Tests gibt es im Skipfish-Wiki(öffnet im neuen Fenster) . Unter code.google.com/p/skipfish(öffnet im neuen Fenster) kann die Software heruntergeladen werden. Sie steht unter der Apache License 2.0.

Zur Startseite 2 Kommentare

Reklame Hier geht es zum Handbuch für Softwareentwickler bei Amazon

Security-Scanner Nmap 5.20 mit neuer Traceroute-Engine

Neue Version bringt rund 150 Verbesserungen. Mit Nmap 5.20 ist eine neue stabile Version des freien Security-Scanners erschienen. Sie bietet laut Entwickler Fyodor rund 150 signifikante Verbesserungen. Es gibt mehr als 30 neue Scripts für die neue Scripting-Engine, mehr Geschwindigkeit und weniger Speicherverbrauch.

Webapplikationen bergen neue Risiken

Sicherheitslücken in Webapplikationen - automatische Scanner reichen nicht. Sicherheitslücken in Webapplikationen können nicht zuverlässig mit automatisierten Werkzeugen gefunden werden, so dass es weiterhin unverzichtbar ist, derartige Anwendungen von Menschen testen zu lassen. Das ist das Fazit einer Untersuchung, die Markus Schumacher auf der Konferenz Datenschutz und Datensicherheit in Berlin vorgestellt hat. Rupert Vogel, Honorarprofessor für Informationstechnologierecht an der Universität Mannheim, stellte vor, wie das Recht helfen kann, die Sicherheit von Software zu verbessern.

Netzwerksicherheitstool Nessi 2 wird Open Source

TU-Berlin stellt Software unter die Apache-Lizenz. Der im DAI-Labor der Technischen Universität Berlin entwickelte Netzwerksicherheitssimulator Nessi 2 ist freie Software. Mit der Software können Administratoren Angriffe auf ihr Netzwerk simulieren und Gegenmaßnahmen testen.

Relevante Themen