Nasce dalla mente di Michal Zalewski la nuova applicazione Skipfish, cioè l’ultimo security scanner completamente automatizzato e supportato direttamente da Google: anche questa volta si tratta di un software open source, secondo la logica cui Google ci ha abituato ultimamente.
Secondo quanto dichiarato da Zalewski stesso nel wiki ospitato su Google Code uno dei punti di forza di Skipfish è la sua elevata velocità di esecuzione: essendo scritto in C e ottimizzato per le scansioni HTTP riesce, infatti, a processare più di 7.000 richieste in locale, che scendono però a 2.000 su rete LAN e a circa 500 su nodi Internet comuni, compatibilmente ovviamente con le capacità del server remoto.
Il secondo punto di forza del Web scanner è da ricercare nella logica interna, basata sull’altro strumento di auditing ratproxy, da cui eredita le caratteristiche migliori, come l’alta qualità dei risultati forniti e il livello basso di falsi positivi, oltre che il vasto numero di tecniche utilizzabili.
Skipfish permette di analizzare un sito Web partendo da una sitemap generata interattivamente tramite metodi brute force per cercare il maggior numero di nodi possibili; segue un’analisi ricorsiva che può far riferimento a un database locale per ottimizzare ulteriormente i tempi di scansione.
I test che possono essere portati a termine sono classificabili secondo i cinque livelli di attacco seguenti:
- Rischio alto, possono portare alla compromissione del sistema: SQL injection, XML / XPath injection, shell command injection;
- Rischio medio, possono comportare la compromissione dei dati: directory trasversal, XSS e CSS inclusion vectors, missing MIME types;
- Rischio basso, ad impatto limitato: Self-signed SSL certificates, External untrusted embedded content, HTTP credentials in URLs;
- Problemi interni: Failed 404 behavior checks, IPS filtering detected;
- Altre informazioni non specifiche.
Nonostante tutte queste indubbie capacità e potenzialità, Skipfish è stato rilasciato deliberatamente privo di un database universale comprendente tutti gli attacchi conosciuti e privo della compatibilità con i requisiti WASH (Web Application Security Scanner Evaluation Criteria): viene da chiedersi se Google spera di limitare le scansioni non autorizzate con questi semplici stratagemmi, e se davvero ci riuscirà.
Per il momento possiamo unicamente installare l’applicazione, nativa per i sistemi Unix ma funzionante anche per quelli Windows usando Cygwin, e controllare, tramite l’output dettagliato che ci sarà restituito, se i PC della nostra rete sono a prova di hacker: in caso di problemi possiamo sempre seguire il consiglio degli stessi sviluppatori e studiare i principi o le linee guida OWASP e WASH.