Google brengt open source webscanner
Gepubliceerd: Maandag 22 maart 2010
Auteur: Sander van der Meijs
Google heeft een open source scanneer vrijgegeven waarmee webapplicaties getest kunnen worden op veiligheid.
Skipfish is een volledig geautomatiseerde webapplicatie reconnaissancetool. Volgens ontwikkelaar Michal Zalewski op het Googleblog heeft de tool drie grote voordelen. Het programma is erg snel, omdat het is geschreven in C en helemaal is geoptimaliseerd voor HTML. Daarnaast is de tool erg gebruikersvriendelijk, en genereert maar weinig false positives.
Volgens Google is Skipfish een mooie bijdrage aan de veiligheid van het web, omdat de tool ontwikkelaars direct wijst op kwetsbaarheden in hun applicaties, zoals XXS-lekken en mogelijkheden voor SQL-injecties. Maar het is geen ultieme oplossing, aldus de documentatiepagina. Het is niet voor alle doeleinden geschikt. Zo voldoet het bijvoorbeeld niet aan de meeste WASC Evaluation Criteria. Het is dus een van de tools die ontwikkelaars kunnen inzetten om hun applicaties veiliger te maken.
Bron: Techworld
