Skipfish - Webアプリ向け脆弱性スキャナ

googleが作ったらしいのでやってみた。

install

ubuntu 9.10に入れてみた。libidnとlibsslがいる。

$ wget http://skipfish.googlecode.com/files/skipfish-1.17b.tgz
$ tar zxvf skipfish-1.17b.tgz
$ sudo apt-get install libidn11-dev libssl-dev
$ make

how to run scanner

実行するにはtgzを展開した場所に置いている、assets/index.htmlが必要ぽい?他のディレクトリで実行しても動かなかった。あと辞書ファイルをdefaultで./skipfish.wlから読もうとするのでファイルがないと失敗する。-Wでdictionariesディレクトリのファイルを選ぶか/dev/nullを指定するか。出力結果を保存するディレクトリも-oで指定すること。

$ ./skipfish -W dictionaries/defaults.wc -o /tmp/output http://example.com/

結果を見る

ブラウザでローカルに保存したファイルを開く。(file:///tmp/output/index.html)
表示の都合上、example.comとなってますが、実際には自分のローカルPCに対して実行しています。ってか当たり前だけど、余所様のサイトには対してはやってはいけません。

警告でてらーw