skipfish : un outil de Google de test de sécurité web

[WebRankInfo]

Google publie skipfish, un outil open source pour tester la sécurité web. Il faut le télécharger, le compiler et l'exécuter sur votre installation Linux...

annonce de présentation : http://googleonlinesecurity.blogspot.com/2010/03/meet-skipfish-our-aut ... d-web.html
site officiel : http://code.google.com/p/skipfish/
le détail de ce qu'il fait : http://code.google.com/p/skipfish/wiki/SkipfishDoc

[spout]

Je pensais que c'était pour tester en local le serveur sur lequel c'est installé, et bien non:

First and foremost, please do not be evil. Use skipfish only against services you own, or have a permission to test.

Je vais tester ça

Merci Olivier

[salva]

Pas mal du tout.
spout, merci de partager le retour sur le test.

[Rod la Kox]

Ahhh, cool.

Ca évitera de passer sur un forum de "geeks" en balançant : "Bande de tarlouzes, mon site, il est blindé".

[raljx]

bien ca ... je vais tester ce we parce qu'alors je me fais bombarder depuis 2 semaines

[pcamliti]

Oui il serait sympa de faire partager vos test

[kanon90]

on va tester ca tranquillement quand on aura le temps.

Merci pour le lien

[sigma2008]

Y a il un document en Français qui explique comment l'installer ?
Merci pour l'info Olivier

[skyll]

Si quelqu'un à testé et à un retourn, ca m'interesse

[spout]

Je viens d'essayer de l'installer sur Ubuntu 9.10.
J'ai une erreur à la compilation, même après avoir installé "libidn".

Code: Tout sélectionner

wget http://skipfish.googlecode.com/files/skipfish-1.10b.tgz
tar xvzf skipfish-1.10b.tgz
cd skipfish
make


Ils parlent de "libidn" à installer, réussi sans problème:

Code: Tout sélectionner

wget http://ftp.gnu.org/gnu/libidn/libidn-1.18.tar.gz
tar xvzf libidn-1.18.tar.gz
cd libidn-1.18
./configure
make
sudo make install


L'erreur (je copie pas tout, c'est long):

Code: Tout sélectionner

make
cc skipfish.c -o skipfish -Wall -funsigned-char -g -ggdb -D_FORTIFY_SOURCE=0 -I/usr/local/include/ -I/opt/local/include/ -O3 -Wno-format http_client.c database.c crawler.c analysis.c report.c -lcrypto -lssl -lidn -lz -L/usr/local/lib/ -L/opt/local/lib
In file included from crawler.h:26,
                 from skipfish.c:39:
http_client.h:26:25: error: openssl/ssl.h: Aucun fichier ou dossier de ce type
In file included from crawler.h:26,
                 from skipfish.c:39:
http_client.h:189: error: expected specifier-qualifier-list before ‘SSL_CTX’
skipfish.c: In function ‘main’:
skipfish.c:143: warning: implicit declaration of function ‘SSL_library_init’
http_client.c:37:25: error: openssl/ssl.h: Aucun fichier ou dossier de ce type
http_client.c:38:25: error: openssl/err.h: Aucun fichier ou dossier de ce type
http_client.c:40:18: error: zlib.h: Aucun fichier ou dossier de ce type
In file included from database.h:29,
                 from http_client.c:45:
http_client.h:189: error: expected specifier-qualifier-list before ‘SSL_CTX’

...


[raljx]

Je viens de l'installer sur une debian sans probleme

Code: Tout sélectionner

cd /tmp
wget http://ftp.gnu.org/gnu/libidn/libidn-1.18.tar.gz
tar -xvzf libidn-1.18.tar.gz
cd libidn-1.18
./configure
make
make install


Code: Tout sélectionner

cd /tmp
wget http://skipfish.googlecode.com/files/skipfish-1.10b.tgz
tar xvzf skipfish-1.10b.tgz
cd skipfish
make


ensuite il faut choisir le bon dictionnaire (les infos son dans skipfish/dictionaries/README-FIRST) et le copier dans le dossier skipfish

Code: Tout sélectionner

cp /chemin/skipfish/dictionaries/minimal.wl /chemin/skipfish/skipfish.wl


Puis on lance le scan, le rapport est ecrit dans output_dir [choisir un chemin accessible en http] sinon il ecrit par default dans /chemin/skipfish/output_dir le fichier index.html

Maintenant on se lance pour un scan complet d'un site

Code: Tout sélectionner

./skipfish -o output_dir http://www.example.com/


ou pour un scan d'URL spécifiées dans un fichier txt

Code: Tout sélectionner

./skipfish -o output_dir http://www.example.com/listurlascanner.txt


Le script se lance pour une durée indéterminée pour l'instant (c'est moi qui est coupé via un CTRL+C)

Je suis en train de traiter les retours mais alors pfff pas évident, évident...

[spout]

J'ai trouvé pour l'erreur de compilation, il manquait le package "libssl-dev".