Googleが先月（2010年3月）にリリースした、オープンソースのウェブセキュリティスキャナ「skipfish」をインストールして試してみた。

ブラインドSQLやXMLインジェクションといったセキュリティホールがあるかどうか、ウェブアプリケーション全体をざっとスキャンしてチェックしてくれるらしい。

導入自体は簡単で、

1. 最新版をDL　（from skipfish – Project Hosting on Google Code）
2. makeでインストール
3. 対象URLとレポートの保存ディレクトリを指定して実行
4. 待つ

という程度。

ただし４での時間と負荷はかなりかかるので、その辺は覚悟。

準備

OpenSSLが入っていなかったら、あらかじめyumでインストールしておく。

[root@dacelo]# yum install openssl-devel libidn-devel

最新版のSkipfishを確認し、ダウンロードして解凍してインストール。

[root@dacelo]# wget http://skipfish.googlecode.com/files/skipfish-1.32b.tgz
[root@dacelo]# tar xvzf skipfish-1.32b.tgz
[root@dacelo]# cd ./skipfish
[root@dacelo]# make

実行

スキップフィッシュのスクリプトに、レポートの生成先、対象URLを引数で渡すとスキャンが始まります。

[root@failtesta skipfish]# ./skipfish -o /var/www/html/report http://blog.dacelo.info/

しばし待ちます…。（↓1時間10分経過後の様子）

skipfish version 1.32b by                                                                                                         

  - test.dacelo.info -                                                                                                                

Scan statistics
---------------                                                                                                                                       

       Scan time : 1:10:01.0517
   HTTP requests : 53431 sent (12.89/s), 72413.38 kB in, 12654.48 kB out (20.25 kB/s)
     Compression : 0.00 kB in, 0.00 kB out (0.00% gain)
 HTTP exceptions : 365 net errors, 0 proto errors, 0 retried, 0 drops
 TCP connections : 817 total (72.37 req/conn)
  TCP exceptions : 0 failures, 365 timeouts, 1 purged
  External links : 102 skipped
    Reqs pending : 5693                                                                                                                               

Database statistics
-------------------                                                                                                                                   

          Pivots : 105 total, 47 done (44.76%)
     In progress : 32 pending, 15 init, 6 attacks, 5 dict
   Missing nodes : 5 spotted
      Node types : 1 serv, 44 dir, 36 file, 0 pinfo, 23 unkn, 1 par, 0 val
    Issues found : 92 info, 23 warn, 15 low, 0 medium, 0 high impact
       Dict size : 2036 words (36 new), 69 extensions, 80 candidates

ここで/var/www/html を選んでいるのは、レポートはブラウザでないと確認できないからです。

JavaScriptを駆使した、こんな感じのレポートができあがります。

skipfishのReport

ちなみに1時間以上経っても終わらず、「なんかテストサーバー重くなってるよ！」と怒られたので途中で停止しました。

毎秒1000件くらいのアクセスが発生し、LoadAverageは20近くになっていましたので要注意。決して本番環境ではやらないこと！

Related posts:

1. メールのエラー「postdrop: warning: unable to look up public/pickup: No such file or directory」 サーバーのメールコマンドを使おうとしたら、こんなエラーが返ってきました。 [dacelo@dacelo.info ~]$ postdrop: warning: unable to look up public/picku...
2. Linux : ファイルにテキストを追記で書き込む Linuxコマンドでは「 > ファイル名」と入力すれば、画面に出力されるものはなんでもそのファイルに書き込むことができます。 例えば、echo でaaaと書き込んでみましょう。 [dacelo@info&# ...続きを読む...
3. 公開鍵ファイルauthorized_keysの設置場所とパーミッション Linuxで鍵を作成するには、ssh-keygenコマンドを使用します。 で、出来た鍵を置く際のパーミッションで、よくハマる箇所があるのでメモ書き。 ファイル 場所 パーミッション ユーザールート /user 701 S ...続きを読む...
4. WordPressの管理画面が真っ白になってしまったら WordPressの管理画面だけが真っ白になってしまった。 サイトのトップページを普通に見てみると、普通に表示されている。 /wp-admin/ wp-login.php 管理画面にログインしようとすると、真っ白になって ...続きを読む...
5. Evernote 4.4 の便利な新機能。とうとうノート間リンクが！ 本日6月15日、Evernote4.4 Windows版が正式リリースされました。 色々と機能の改善が施されて、さらに便利に使えるようになっています。 １．ノート間リンク 全Evernoteユーザーが「あったらいいな」と ...続きを読む...

Related posts brought to you by Yet Another Related Posts Plugin.