Abo
  • Services:

Skipfish: Security-Scanner für Webapplikationen

Google verspricht automatisierte Prüfung mit hoher Geschwindigkeit

Mit Skipfish hat Google einen Sicherheitsscanner für Webapplikationen als Open Source freigegeben. Skipfish überprüft Webapplikationen weitgehend automatisiert auf diverse Sicherheitslücken und soll dabei besonders schnell sein.

Artikel veröffentlicht am ,

Skipfish erstellt durch rekursives Crawlen eine interaktive Sitemap einer Website. Anschließend wird die Sitemap mit den Ergebnissen diverser Sicherheitsprüfungen ergänzt. Skipfish-Entwickler Michal Zalewski verspricht dabei vor allem eine hohe Geschwindigkeit: Die in C geschriebene Software soll bei geringer CPU-Belastung rund 2.000 Anfragen pro Sekunde im lokalen Netzwerk absetzen können. Läuft Skipfish auf dem gleichen Rechner wie die Applikation, hat Zalewski bei normaler Hardware mehr als 7.000 Anfragen pro Sekunde erreicht. Bei Zielen im Internet waren es gut 500 Anfragen pro Sekunde.

Stellenmarkt
  1. über duerenhoff GmbH, Hamburg
  2. Giesecke+Devrient 3S GmbH, München

Dank der heuristischen Herangehensweise von Skipfish gekoppelt mit einem selbstlernenden Algorithmus soll dessen Benutzung besonders einfach sein. Wortlisten werden dabei on-the-fly erstellt und Formulare automatisch ausgefüllt.

Die Sicherheitsprüfungen wurden daraufhin optimiert, möglichst wenig falsche Alarme zu produzieren. Den "WASC Web Application Security Scanner Evaluation Criteria" folgt die Software laut Zalewski nur zu einem kleinen Teil. Geprüft werden unter anderem serverseitige SQL-Injections, SQL-Syntax in GET- und POST-Parametern, das Einschleusen von Shell-Befehlen und das Produzieren von Integer-Überläufen. Auch Cross-Site-Scripting wird in diversen Varianten getestet. Eine Übersicht der Tests gibt es im Skipfish-Wiki. Unter code.google.com/p/skipfish kann die Software heruntergeladen werden. Sie steht unter der Apache License 2.0.



Anzeige
Spiele-Angebote
  1. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  2. 26,99€
  3. 39,99€
  4. 99,99€

ohauer 23. Mär 2010

jo, skip, hier dein fish: <*.---<


Folgen Sie uns
       


Alstom E-Bus Prototyp in Berlin - Bericht

Der Alstom Aptis kann mit beiden Achsen lenken und ist deshalb besonders wendig. Wir sind in Berlin eine Runde mit dem Elektrobus gefahren.

Alstom E-Bus Prototyp in Berlin - Bericht Video aufrufen
Thermalright ARO-M14 ausprobiert: Der den Ryzen kühlt
Thermalright ARO-M14 ausprobiert
Der den Ryzen kühlt

Mit dem ARO-M14 bringt Thermalright eine Ryzen-Version des populären HR-02 Macho Rev B. Der in zwei Farben erhältliche CPU-Kühler leistet viel und ist leise, zudem hat Thermalright die Montage etwas verbessert.
Ein Hands on von Marc Sauter


    Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
    Digitalfotografie
    Inkonsistentes Rauschen verrät den Fälscher

    War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
    Ein Bericht von Werner Pluta

    1. iOS und Android Google lanciert drei experimentelle Foto-Apps
    2. Aufstecksucher für TL2 Entwarnung bei Leica

    Adblock Plus: Bundesgerichtshof erlaubt Einsatz von Werbeblockern
    Adblock Plus
    Bundesgerichtshof erlaubt Einsatz von Werbeblockern

    Der Bundesgerichtshof hat im Streit um die Nutzung von Werbeblockern entschieden: Eyeo verstößt mit Adblock Plus gegen keine Gesetze. Axel Springer hat nach dem Urteil angekündigt, Verfassungsbeschwerde einreichen zu wollen.

    1. Urheberrecht Easylist muss Anti-Adblocker-Domain entfernen

      •  /