skipfish

Google製のActive Webアプリケーションスキャナ。コマンドラインのスキャナだが、自動的にクロールしてSQLインジェクションXSSを検知できるそうだ。Cで書かれているから高速だとか、使い方が簡単とかの特徴がある。
手元のCentOSコンパイルしてみたところ、それほど手間がかからずバイナリができた。*1
試しに以下のようなオプションを付けて、DVWAに対してスキャンしてみた。

./skipfish -o dvwa -W dictionaries/default.wl http://192.168.xx.xx/dvwa/

そうすると、ものすごい早さでクロールとスキャンが走りだしコンソールはこんな感じに。

スキャンが終わるとレポートが出力されるので、ブラウザで表示すると以下の3種類の見方で結果が表示される。

  1. Crawl results
  2. Document type overview
  3. Issue type overview


設定の仕方がまずいのかも知れないが、脆弱性を全部検出することはできなかった。脆弱性を発見したときは、URL毎に"show trace"というボタンが表示され、それを押すとHTTPリクエストとレスポンスが表示されるので、誤検知の判断はしやすいと思う。

*1:動かしたバージョンは1.12b