Trong Kali Linux, Skipfish là một công cụ phân tích bảo mật ứng dụng web. Nó sử dụng thu thập thông tin đệ quy và các đầu dò dựa trên từ điển để tạo sơ đồ trang web tương tác cho trang web đã chọn. Sau đó, bản đồ kết quả được chú thích với kết quả của một số kiểm tra bảo mật đang hoạt động (nhưng hy vọng là không gây gián đoạn). Báo cáo cuối cùng của công cụ này nhằm mục đích được sử dụng làm điểm khởi đầu cho các đánh giá bảo mật ứng dụng web chuyên nghiệp.
Các bài viết liên quan:
Skipfish là một công cụ kiểm tra thâm nhập tự động (APT) miễn phí và mã nguồn mở dành cho các nhà nghiên cứu bảo mật có thể tìm thấy trên GitHub. Skipfish được sử dụng để thu thập thông tin và kiểm tra tính bảo mật của các trang web và máy chủ web. Skipfish là một trong những công cụ kiểm tra thâm nhập thân thiện và hiệu quả nhất hiện có. Nó đi kèm với một số công cụ tích hợp để kiểm tra hệ thống mục tiêu. Công cụ này còn được gọi là công cụ do thám bảo mật ứng dụng web đang hoạt động. Công cụ này hoạt động và ánh xạ bảng điều khiển của trang mục tiêu bằng cách sử dụng thu thập thông tin đệ quy và đầu dò dựa trên từ điển. Công cụ này hiển thị tất cả các kiểm tra bảo mật đang hoạt động trong miền. Cuối cùng, công cụ này tạo ra một báo cáo có thể được sử dụng để đánh giá bảo mật.
Tính năng của công cụ Skipfish
Sau đây là các tính năng của công cụ Skipfish:
- Skipfish có thể theo dõi sự liệt kê.
- Skipfish được sử dụng để quét các trang web và ứng dụng web.
- Skipfish là một công cụ trí tuệ nguồn mở.
- Skipfish chứa các mô-đun khác nhau như wananga, metagoofil, v.v.
- Skipfish có thể phát hiện các lỗ hổng bảo mật (CMS), chẳng hạn như WordPress, Joomla và các lỗ hổng khác.
- Có hơn 15 mô-đun hiện diện trong Skipfish có thể được sử dụng để kiểm tra thâm nhập.
- Chúng tôi đã sử dụng Skipfish để quét hệ thống quản lý nội dung (CMS).
- Logic bảo mật tiên tiến: dương tính giả thấp, có khả năng phát hiện một loạt các lỗi tinh vi, chất lượng cao, kiểm tra bảo mật khác biệt, bao gồm cả vectơ tiêm mù.
- Dễ sử dụng: Heuristics để hỗ trợ một loạt các khuôn khổ web kỳ quặc và các trang web công nghệ hỗn hợp, bao gồm khả năng học tập tự động, tạo danh sách từ nhanh chóng và tự động hoàn thành biểu mẫu.
- Tốc độ cao: xử lý HTTP tốc độ nhanh, với trên 2000 request mỗi giây.
Cài đặt Skipfish
Các bước sau được sử dụng để cài đặt Skipfish:
Bước 1: Để cài đặt công cụ Skipfish, đầu tiên chúng ta phải chuyển sang màn hình desktop rồi gõ lệnh sau:
git clone https://gitlab.com/kalilinux/packages/skipfish.git
Bước 2: Sau đó, Skipfish đã được cài đặt vào máy Kali Linux của chúng ta và bây giờ, với sự trợ giúp của lệnh sau, chúng ta có thể di chuyển nó vào thư mục công cụ.
cd skipfish
ls
skipfish -h
Bước 3: Bây giờ, chúng ta có thể thấy, menu trợ giúp của công cụ hiện đang hoạt động. Tất cả các cờ đi kèm với công cụ đều có thể được sử dụng. Chúng tôi đã tải xuống công cụ và bây giờ chúng tôi sẽ tìm hiểu cách sử dụng nó.
Cách sử dụng Skipfish trong Kali Linux
Như chúng tôi đã nói trước đây rằng chúng tôi không cần cài đặt SkipFish vì nó được cài sẵn Kali Linux (phiên bản đầy đủ).
Chúng tôi có thể kiểm tra tùy chọn của nó bằng cách gõ lệnh sau vào thiết bị đầu cuối của chúng tôi:
sudo skipfish -h
Sau đây cho thấy kết quả của lệnh trước đó cũng như sự trợ giúp của công cụ SkipFish.
Hãy thảo luận về cách sử dụng SkipFish trên Kali Linux với sự trợ giúp của
Ví dụ 1: Chúng ta có thể sử dụng công cụ Skipfish để quét một trang web WordPress với sự trợ giúp của địa chỉ IP của nó.
skipfish -o 202 http://192.168.1.202/wordpress
Báo cáo của công cụ có thể được xem tại đây. Công cụ này có thể được sử dụng để tạo mục tiêu của riêng chúng tôi. Chúng tôi tự do sử dụng bất kỳ miền nào chúng tôi chọn.
Ví dụ 2: Sử dụng công cụ Skipfish để quét bodegeit
sudo skipfish -o Skipfish http://192.168.222.37/bodegeit
Như chúng ta có thể thấy, công cụ đã cung cấp tất cả dữ liệu liên quan, bao gồm dữ liệu, bao gồm thời gian quét, yêu cầu HTTP tới máy chủ, kích thước nén, lỗi HTTP, bắt tay TCP, lỗi TCP, liên kết ngoài, v.v. Đây là cách chúng tôi cũng có thể thực hiện một hoạt động trên một mục tiêu mà chúng tôi chỉ định.
