ブラインドSQLやXMLインジェクションといったセキュリティホールがあるかどうか、ウェブアプリケーション全体をざっとスキャンしてチェックしてくれるらしい。

導入自体は簡単で、

1. 最新版をDL　（from skipfish – Project Hosting on Google Code）
2. makeでインストール
3. 対象URLとレポートの保存ディレクトリを指定して実行
4. 待つ

という程度。

ただし４での時間と負荷はかなりかかるので、その辺は覚悟。

準備

OpenSSLが入っていなかったら、あらかじめyumでインストールしておく。

[root@dacelo]# yum install openssl-devel libidn-devel

最新版のSkipfishを確認し、ダウンロードして解凍してインストール。

[root@dacelo]# wget http://skipfish.googlecode.com/files/skipfish-1.32b.tgz
[root@dacelo]# tar xvzf skipfish-1.32b.tgz
[root@dacelo]# cd ./skipfish
[root@dacelo]# make

実行

スキップフィッシュのスクリプトに、レポートの生成先、対象URLを引数で渡すとスキャンが始まります。

[root@failtesta skipfish]# ./skipfish -o /var/www/html/report http://blog.dacelo.info/

しばし待ちます…。（↓1時間10分経過後の様子）

skipfish version 1.32b by                                                                                                         

  - test.dacelo.info -                                                                                                                

Scan statistics
---------------                                                                                                                                       

       Scan time : 1:10:01.0517
   HTTP requests : 53431 sent (12.89/s), 72413.38 kB in, 12654.48 kB out (20.25 kB/s)
     Compression : 0.00 kB in, 0.00 kB out (0.00% gain)
 HTTP exceptions : 365 net errors, 0 proto errors, 0 retried, 0 drops
 TCP connections : 817 total (72.37 req/conn)
  TCP exceptions : 0 failures, 365 timeouts, 1 purged
  External links : 102 skipped
    Reqs pending : 5693                                                                                                                               

Database statistics
-------------------                                                                                                                                   

          Pivots : 105 total, 47 done (44.76%)
     In progress : 32 pending, 15 init, 6 attacks, 5 dict
   Missing nodes : 5 spotted
      Node types : 1 serv, 44 dir, 36 file, 0 pinfo, 23 unkn, 1 par, 0 val
    Issues found : 92 info, 23 warn, 15 low, 0 medium, 0 high impact
       Dict size : 2036 words (36 new), 69 extensions, 80 candidates

ここで/var/www/html を選んでいるのは、レポートはブラウザでないと確認できないからです。

JavaScriptを駆使した、こんな感じのレポートができあがります。

skipfishのReport

ちなみに1時間以上経っても終わらず、「なんかテストサーバー重くなってるよ！」と怒られたので途中で停止しました。

毎秒1000件くらいのアクセスが発生し、LoadAverageは20近くになっていましたので要注意。決して本番環境ではやらないこと！

Related posts:

1. Apacheアクセスログの設定 httpd.confでVirtualHostのアクセスログの保存方法と場所を指定する。 common　… 共通のログファイルに書き込む combined　… 個別のログファイルに書き込む …ということだと思うんですが、事 [...]...
2. シンボリックリンクが削除できない！？ 別サイトに設置したphpMyAdminを流用しようとして作ったシンボリックリンクが削除できない。 [root@dacelo DocumentRoot]# rm phpMyAdmin/ rm: cannot remove [...]...
3. phpPgAdminにログインできないときの解決法 phpで書かれたWebベースのPostgreSQL管理ツール、phpPgAdminのレスキューtipsです。 「phpPgAdmin :: Web Based PostgreSQL Administration Tool [...]...

「phpPgAdmin :: Web Based PostgreSQL Administration Toolで、ちゃんと設置したはずなのにログインできない！」
というときのために、検索用の覚え書き。

それらをWEBブラウザ上で操作できるようにするPHPプログラムが、phpMyAdminとphpPgAdmin。
そのうち、phpPgAdminはPostgreSQL用のそれ。phpPgAdminはphpMyAdminよりもインストールでハマる可能性が高いと思います。

以下、「ログインできない！」と焦ったときのチェックポイント。

１．そのユーザにパスワードはあるか？

初期状態では、パスワードのないユーザではログインできません。phpPgAdminの設定を編集するか、ユーザにパスワードをつけてあげるかしましょう。
phpPgAdminのコンフィグファイルは

[root@localhost conf]# vi /var/www/html/phpPgAdmin/conf/config.inc.php

で編集します。（インストール場所、フォルダ名は一例）
パスワードを付けるコマンドは、

dbname=# ALTER USER ユーザ名 WITH PASSWORD ‘新しいパスワード’;
ALTER ROLE

です。

２．一般的ユーザではないか？

root、postgresといった一般的な名称のユーザ名だとログインをはじくセキュリティ設定があります。

$conf['extra_login_security'] = true;

の部分を[true→false]にして無効にしましょう。

３．ローカルユーザーの判定

postgreSQLの設定で、ローカルコネクションの場合の判定をIPで指定してあげます。
（postgreSQLの設定ファイルは、RedHat系なら /var/lib/pgsql/data/pg_hba.conf 、Debian系なら /etc/postgresql/pg_hba.conf にあります。）

# IPv4 local connections:
host all all 127.0.0.1/32 ident sameuser

となっているのを

host all all 127.0.0.1 255.255.255.255 trust

と書き直す。これで接続できるはずです。多分。

Related posts:

1. Apacheのエラー：Could not reliably determine the server’s fully qualified domain name… Apacheを再起動した際に、 httpd: Could not reliably determine the server’s fully qualified...
2. Mysqlに「Can’t connect to local MySQL server through socket」が出て接続できない MySQLに接続しようとすると（ターミナルでもphpMyAdminでもMovableTypeでも何でも）、　「Can’t connect to local MySQL server through socke [...]...
3. 「WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!」と怒られたら sshで違うサーバーに接続しようとしたときに、こんな警告メッセージが出ることがあります。 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ [...]...

ところでこのPoderosa、日本語読みがポデローサなのかポデローザなのか、イマイチ分からなくて不安です。例えばCronがクーロンかクローンかは、「クロゥンが正解」で決着が付いているんですが、Poderosaの場合は公式的にも表記が揺れている。

ようこそ Poderosa.org へ。Poderosa(ポデローサ) は、タブ式 GUIを持ち、プラグインで機能拡張ができるオープンソースの Windows 用高機能ターミナルエミュレータです。
『index – Terminal Emulator Poderosa』

日本公式では、トップページではっきりポデローサと書かれているんですが…

ポデローザ

ツール→オプション設定でフォント設定を見ると、サンプルテキストに「ポデローザ」と書かれているんですよね。うーん…。

Googleでは圧倒的な差があります。

ポデローザの検索結果 81 件
ポデローサ の検索結果 約 17,300 件
（2009/07/21調べ）

英語ネイティブの人に100人くらい聞いてみないと分からないかもしれませんが、英語的にはこういう単語だとポデローザって発音しそうな気がします。
というかPoderosa Japanはもっとしっかりしてくれ！

Related posts:

1. Thunderbirdのデフォルト設定をHTMLからテキストに メールの形式には、テキスト形式とHTML形式があります。 で、Thunderbirdの送信メールの形式は、 「ツール → オプション → 一般 」の右下「送信テキスト形式」で変更できるんですが、これは送信先がHTMLメー [...]...
2. WordPressで画像がアップロードできなくなったら… WordPressの画像管理は、アップロード、リサイズ、キャプション挿入、貼り付けの流れがスムーズにつながっていてとても便利ですねー。 …と思っていたら、突然画像のアップが出来なくなりました。 「うーん。このサーバーは急 [...]...
3. テーブルコーディングのコンテンツ部分の抜き出し テーブルレイアウトの古いHTMLサイトのコンテンツ部分を抜き出して、CSSレイアウトのサイトやCMSに流し込んだりするとき、困るのがテーブルタグの取り扱いです。 全体のレイアウトがテーブルだけならまだいいんですが、ひどい [...]...