lundi 22 mars 2010

Skipfish, ou quand Google nous sort un scanneur de vulnérabilités

Google ne finira pas de nous surprendre, afin de rendre le web plus sûr, voila qu'ils mettent Skipfish sur le marché, à part le fait que cette application ait été créée par un grand hacker (travaillant chez Google), elle a la particularité d'être écrite en C, donc très bas niveau, donc pas trop de ressources consommées et plus de rapidité (d'ailleurs beaucoup plus je le confirme), je ne vais pas lister ici les types de vulnérabilités que ça peut détecter, je vous laisse un lien (disons que c'est un big super-crawler autodidacte qui déniche tout type de faille) mais voila comment on l'installe et utilise:
ubugnu@ubugnu-laptop:~$ wget "http://skipfish.googlecode.com/files/skipfish-1.11b.tgz "
ubugnu@ubugnu-laptop:~$ tar zxvf "skipfish-1.11b.tgz"
ubugnu@ubugnu-laptop:~$ sudo apt-get install libidn11-dev
ubugnu@ubugnu-laptop:~$ sudo apt-get install libssl-dev
ubugnu@ubugnu-laptop:~$ cd skipfish
ubugnu@ubugnu-laptop:~$ make
ubugnu@ubugnu-laptop:~$ cp dictionaries/default.wl skipfish.wl
ubugnu@ubugnu-laptop:~$ ./skipfish -o resultat "http://www.monsite.com"
Vous aurez à la fin un fichier index.html bien structuré dans le répertoire "resultat", attention, il vaut mieux l'ouvrir avec http:// plutôt qu'avec file:/// à cause de certaines security policy dans les navigateurs, en effet ce fichier comprend du js.