Carlos Serrão

as minhas notas e página pessoal…

Google Web scanner – o SkipFish

| 0 comments

O Google, o gigante da Internet e em que cujo o modelo de negócios assenta essencialmente sobre a distribuição de aplicações e serviços através de Web, parece finalmente ter acordado para a necessidade de ter maior nível de segurança ao nível aplicacional.

De acordo com o que o próprio Google afirma:

The safety of the Internet is of paramount importance to Google, and helping web developers build secure, reliable web applications is an important part of the equation.

Por isso mesmo, a Google disponibiliza uma ferramenta, de seu nome Skipfish, que é open-source, livre e gratuita e que pode ser usada para efectuar testes automáticos de segurança a aplicações web.

As principais características do Skipfish são:

  • Velocidade: ferramenta bastante rápida, desenvolvida em C, optimizada para trabalhar com HTTP e com baixa utilização de recursos;
  • Facilidade de Utilização: utiliza heurísticas avançadas que permitem o reconhecimento e adaptação a novas situações de análise;
  • Lógica de segurança avançada: inclui a possibilidade de detectar ataques que resultariam em falsos negativos noutras ferramentas como por exemplo vulnerabilidades de blind injection.

Entretanto aqui fica uma lista exaustiva (obrigado Nuno Teodoro) das principais funcionalidades da ferramenta:

  • Server-side SQL injection (including blind vectors, numerical parameters)
  • Explicit SQL-like syntax in GET or POST parameters
  • Server-side shell command injection (including blind vectors)
  • Server-side XML / XPath injection (including blind vectors)
  • Format string vulnerabilities
  • Integer overflow vulnerabilities
  • Locations accepting HTTP PUT
  • Stored and reflected XSS vectors in document body (minimal JS XSS support present)
  • Stored and reflected XSS vectors via HTTP redirects
  • Stored and reflected XSS vectors via HTTP header splitting
  • Directory traversal (including constrained vectors)
  • Assorted file POIs (server-side sources, configs, etc)
  • Attacker-supplied script and CSS inclusion vectors (stored and reflected)
  • External untrusted script and CSS inclusion vectors
  • Mixed content problems on script and CSS resources (optional)
  • Incorrect or missing MIME types on renderables
  • Generic MIME types on renderables
  • Incorrect or missing charsets on renderables
  • Conflicting MIME / charset info on renderables
  • Bad caching directives on cookie setting responses
  • Directory listing bypass vectors
  • Redirection to attacker-supplied URLs (stored and reflected)
  • Attacker-supplied embedded content (stored and reflected)
  • External untrusted embedded content
  • Mixed content on non-scriptable subresources (optional)
  • HTTP credentials in URLs
  • Expired or not-yet-valid SSL certificates
  • HTML forms with no XSRF protection
  • Self-signed SSL certificates
  • SSL certificate host name mismatches
  • Bad caching directives on less sensitive content
  • RSS
  • Twitter
  • Buzz
  • LinkedIn
  • Flickr