Skipfish produziert HTML-Berichte, die sich wie Sitemaps lesen.
Googles Online-Security-Team hat einen freien Security-Scanner für Webanwendungen namens Skipfish veröffentlicht.
Das Kommandozeilentool betätigt sich als Crawler und erstellt eine interaktive Sitemap der besuchten Website. Diese Auflistung ergänzt Skipfish mit den Ergebnissen einiger Security-Tests, die die Webanwendung beispielsweise auf Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (XSRF) und SQL-Injection prüfen. Dabei kann die Software auch mit Websites umgehen, die mit mehreren unterschiedlichen Technologien oder Frameworks arbeiten.
Skipfish produziert HTML-Berichte, die sich wie Sitemaps lesen.
Skipfish ist in C geschrieben und zeichnet sich laut ihren Machern durch gute Performance aus: Gegen Server im Internet sollen über 500 Anfragen in der Sekunde möglich sein, im LAN über 2000 und an lokal installierte Anwendungen mehr als 7000. Die Entwickler haben für Skipfish ihren eigenen HTTP-Stack implementiert.
Die Skipfish-Entwickler weisen darauf hin, dass ihr Werkzeug zwar viele praxisrelevante Sicherheitslücken aufspürt, aber nicht alle. Wie alle Security-Scanner sollte es nur mit Genehmigung auf Websites losgelassen werden.
Skipfish ist Open-Source-Software unter der Apache-2.0-Lizenz. Es besitzt eine eigene Seite bei Google Code, wo es einen Quelltext-Tarball zum Download sowie Online-Dokumentation gibt.
