Skipfish – Un scanner de vulnérabilité pour les sites web développé par Google
Skipfish est un outil d’analyse de vulnérabilité d’une application web développée par Google en pure C. Il est donc très performant, c’est pour ça que je vous le présente aujourd’hui.
- Présentation
- Prérequis
- Pourquoi choisir Skipfish
- Comment installer Skipfish
- Comment utiliser Skipfish pour faire un test de sécurité
1. Présentation
Skipfish est un scanner de vulnérabilité pour les sites web, il est open-source et est développé en C par Google sous une licence Apache-2.0. Skipfish à la particularité d’être très rapide en termes de requêtes, tout en évitant d’utiliser trop le processeur.
Ce sont quelques unes de ses caractéristiques qui permettent de le remarquer par rapport aux autres logiciels.
2. Prérequis
Pour installer Skipfish, il faut obligatoirement avoir Linux.
3. Pourquoi choisir Skipfish
Pour ceux qui veulent savoir les avantages de Skipfish, vous pouvez lire ce wiki : https://code.google.com/archive/p/skipfish/wikis/SkipfishDoc.wiki
Tout est indiqué, seule la partie de l’installation est un peu mal expliquée à mon avis, c’est pour cela que je vais vous montrer la démarche à suivre ci-dessous.
4. Comment installer Skipfish
Vous allez tout d’abord télécharger la dernière version du logiciel : https://code.google.com/archive/p/skipfish/downloads
Ensuite, ouvrez un terminal et accédez au dossier du logiciel :
cd /Téléchargements/skipfish-2.10b make
ou
sudo apt-get install skipfish
Et c’est tout, comme vous pouvez le voir, c’est relativement simple !
Il ne reste plus qu’à le lancer, je vous invite donc à aller voir la partie qui suit.
PS : Skipfish est déjà installé d’office dans Kali Linux.
5. Comment utiliser Skipfish pour faire un test de sécurité
Pour scanner votre site, il suffit de faire via la commande suivante dans un terminal Linux :
skipfish -o /dossier/pour/les/resulats http://votre-site-web.fr
Une fois le scan terminé, vous pouvez voir le résultat en ouvrant le fichier « index.html » qui se trouve dans le dossier des résultats.
Mais votre site a un formulaire de connexion et Skipfish ne peut donc pas scanner la totalité de votre site. Comment faire ?
Il suffit de faire cette commande :
skipfish --auth-form http://connexion.votre-site.fr --auth-user-field champ_identifiant --auth-user VotreIdentifiant --auth-pass-field champ_mdp –auth-pass VotreMdp -o /dossier/pour/les/resulats http://votre-site-web.fr
Maintenant, vous savez comment vérifier la sécurité de votre site et surtout, comment résoudre les failles de sécurité.
