Google oddał do użytku darmowy skaner, który pozwala testować aplikacje webowe na obecność luk bezpieczeństwa. Program o nazwie Skipfish sposobem działania przypomina narzędzia Nmap, Nessus i im podobne, ale o wiele szybciej dostarcza rezultaty skanowania. Przy użyciu metod heurystycznych w pełni automatycznie wykrywa podatność na ataki typu Cross-Site Scripting, SQL Injection, XML Injection oraz wiele innych. Szczegółowa obróbka wyników pojedynczych testów ułatwia orientację w raporcie końcowym.
Google oddał do użytku darmowy skaner, który pozwala testować aplikacje webowe na obecność luk bezpieczeństwa. Program o nazwie Skipfish sposobem działania przypomina narzędzia Nmap, Nessus i im podobne, ale o wiele szybciej dostarcza rezultaty skanowania. Przy użyciu metod heurystycznych w pełni automatycznie wykrywa podatność na ataki typu Cross-Site Scripting, SQL Injection, XML Injection oraz wiele innych. Szczegółowa obróbka wyników pojedynczych testów ułatwia orientację w raporcie końcowym.
Skipfish jest napisany wyłącznie w języku C i według informacji Google'a potrafi bez trudu przetworzyć 2 tysiące zapytań HTTP na sekundę - zakładając, że testowany serwer zniesie tak duże obciążenie. Podczas pojedynczych testów w sieciach lokalnych obsłuży nawet 7 tysięcy i więcej zapytań na sekundę, przy umiarkowanym obciążeniu CPU i niskim zużyciu pamięci.
Google uzyskuje tak wysoką wydajność dzięki szeregowemu modelowi wejścia/wyjścia, który przetwarza odpowiedzi asynchronicznie i wykazuje znacznie lepszą skalowalność od klasycznych metod wielowątkowych obsługujących zapytania w sposób synchroniczny. Zoptymalizowana obsługa połączeń HTTP (wraz z żądaniami typu range request zdefiniowanymi w protokole HTTP 1.1)
, połączeń Keep-Alive oraz kompresji danych pozwala utrzymać absorbowaną przez Skipfisha szerokość pasma sieciowego na rozsądnym poziomie.
Producent informuje, że sam wykorzystuje ten skaner do sprawdzania własnych aplikacji webowych pod kątem niepewnych interfejsów. Koncern ostrzega jednak, że wyniki skanowania nie są w pełni kompletne i na przykład nie odpowiadają kryteriom WASC (Web Application Security Scanner Evaluation Criteria)
.
Warto wspomnieć, że autorem oprogramowania jest polski badacz i specjalista Michał Zalewski – autor licznych publikacji i narzędzi związanych z bezpieczeństwem sieci i systemów – który obecnie współpracuje z koncernem Google.
