5.3.8 Analiza alata Skipfish
Sažetak:
S razvojem Interneta i World Wide Weba povećao se broj dostupnih web aplikacija, a napredovao je i postupak izrade web stranica odnosno tehnologija pomoću kojih se iste izrađuju. Većina današnjih stranica ima malu količinu statičkog sadržaja te na njima dominira dinamički sadržaj koji je izuzetno ranjiv i pogodan za različite oblike napada. Među spomenutima napadima najučestalija su različita umetanja zlonamjernog koda poput napada umetanjem SQL koda, XML koda ili XPath koda, XSS napada, CSRF napada i mnogih drugih. Zbog svih navedenih sigurnosnih ranjivosti, među dizajnerima i programerima podigla se svijest o važnosti održavanja sigurnosti njihovih web aplikacija. Kako bi im se olakšalo utvrđivanje sigurnosti njihovih aplikacija stvoreni su alati za provjeru sigurnosti web aplikacija poput Wapitija, Nikta i mnogih drugih. Najnoviji među njima je Skipfish. Kao i njegova konkurencija, diči se detaljnim skeniranjem web aplikacija u potrazi za najpoznatijim i najopasnijim sigurnosnim ranjivostima. Pokreće se iz komandne linije uz mnoštvo različitih opcija za prilagodbu detaljnosti, kvalitete i trajanja skeniranja, a rezultate svog rada korisniku prezentira u obliku HTML izvještaja. Ovaj dokument objašnjava i prikazuje najopasnije sigurnosne prijetnje web aplikacija. Uz to, detaljno opisuje karakteristike, mane i probleme alata Skipfish, način njegovog korištenja, donosi usporedbu s konkurentskim alatima te osvrt na budućnost razvoja alata.
Opis
Datum objave18.8.2010
Ključne riječiSkipfish # ranjivosti web aplikacija # sigurnost web aplikacija # XSS napad # CSRF napad
IDNCERT-PUBDOC-2010-08-308
Pogledati dokumente: