Abo
  • Services:

Skipfish: Security-Scanner für Webapplikationen

Google verspricht automatisierte Prüfung mit hoher Geschwindigkeit

Mit Skipfish hat Google einen Sicherheitsscanner für Webapplikationen als Open Source freigegeben. Skipfish überprüft Webapplikationen weitgehend automatisiert auf diverse Sicherheitslücken und soll dabei besonders schnell sein.

Artikel veröffentlicht am ,

Skipfish erstellt durch rekursives Crawlen eine interaktive Sitemap einer Website. Anschließend wird die Sitemap mit den Ergebnissen diverser Sicherheitsprüfungen ergänzt. Skipfish-Entwickler Michal Zalewski verspricht dabei vor allem eine hohe Geschwindigkeit: Die in C geschriebene Software soll bei geringer CPU-Belastung rund 2.000 Anfragen pro Sekunde im lokalen Netzwerk absetzen können. Läuft Skipfish auf dem gleichen Rechner wie die Applikation, hat Zalewski bei normaler Hardware mehr als 7.000 Anfragen pro Sekunde erreicht. Bei Zielen im Internet waren es gut 500 Anfragen pro Sekunde.

Stellenmarkt
  1. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  2. Software AG, Darmstadt

Dank der heuristischen Herangehensweise von Skipfish gekoppelt mit einem selbstlernenden Algorithmus soll dessen Benutzung besonders einfach sein. Wortlisten werden dabei on-the-fly erstellt und Formulare automatisch ausgefüllt.

Die Sicherheitsprüfungen wurden daraufhin optimiert, möglichst wenig falsche Alarme zu produzieren. Den "WASC Web Application Security Scanner Evaluation Criteria" folgt die Software laut Zalewski nur zu einem kleinen Teil. Geprüft werden unter anderem serverseitige SQL-Injections, SQL-Syntax in GET- und POST-Parametern, das Einschleusen von Shell-Befehlen und das Produzieren von Integer-Überläufen. Auch Cross-Site-Scripting wird in diversen Varianten getestet. Eine Übersicht der Tests gibt es im Skipfish-Wiki. Unter code.google.com/p/skipfish kann die Software heruntergeladen werden. Sie steht unter der Apache License 2.0.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. 12,49€
  3. (-58%) 23,99€

ohauer 23. Mär 2010

jo, skip, hier dein fish: <*.---<


Folgen Sie uns
       


The Crew 2 - Fazit

The Crew 2 bietet zum Teil wahnwitzige Neuerungen, stolpert im Test aber trotzdem über alte Fehler.

The Crew 2 - Fazit Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Nach tödlichem Unfall Uber entlässt 100 Testfahrer für autonome Autos
  2. Autonomes Fahren Daimler und Bosch testen fahrerlose Flotte im Silicon Valley
  3. Kooperationen vereinbart Deutschland setzt beim Auto der Zukunft auf China

Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Mehr Reaktionsmöglichkeiten statt schwächerer Munition
  2. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  3. Battlefield 5 Schatzkisten und Systemanforderungen

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  2. US Space Force Planlos im Weltraum
  3. Gewalt US-Präsident Trump will Gespräch mit Spielebranche

    •  /