SkipFish Nedir? Nasıl Kullanılır?
SkipFish Nedir?
Linux tabanlı olarak çalışan hızlı açık tarama aracıdır. Nmap ve Nessusa benzer özelliklere sahiptir. Kodları tek tek inceleyen Skipfish adlı araç, deneysel olarak kodlarda cross site scripting olarak bilinen XSS ve SQLveya XML injection açıkları olup olmadığını kontrol ediyor. Saniye 2000 http isteminde bulunuyor bu sayede de sunucuyu fazla yormuyor.SkipFish Nasıl Kurulur?
Linux tabanlı işletim sistemlerinde kurulu olarak gelir. Ancak yine de sistemlerin bulunmayanlar için nasıl kurulacağını göstereceğim.
İndirmek istediğimiz dizini seçiyoruz. Ben masaüstüne indireceğim.
cd Desktop/ diyerek masaüstüne geçiş yapıyorum sonra ise indirme linkim ile aracımızı indiriyoruz.
git clone https://github.com/spinkham/skipfish diyerek indirebilirsiniz.
SkipFish Nasıl Kullanılır?
Komut satırımıza skipfish -h yazarak kullanabileceğimiz paranametleri görebilirsiniz. Aracın yaptığı bazı hareketleri kendiniz belirleyebilirsiniz. Örneğin; crawl derecesini requestleri ve yazılımın performansını kendiniz belirliyebilirsiniz. Örnek bir tarama yapmak gerekirse;skipfish -o /root/Desktop/test http://hedefsite.com
Terminalimize bunu yazıyoruz. Geçmeden önce komutlarımızı inceleyelim.
-o belirtilen dizine çıktı yazar bunun yerine -A ile http kimlik bilgilerini, -W veya -S ile sözlük dosyası da verilebilir.
/Desktop/ çıktıların çıkacağı belirtilen yerdir. Buraya istediğiniz dizini yazabilirsiniz.
/test ile belirtiğiniz dizine çıkan çıktının adıdır. İstediğiniz ismi verebilirsiniz.
http://hedefsite.com ise hedef sitemizdir.
Tarama bittiğinde index.html ye girerek kritiklik seviyesi, doküman tipi, bulgu detayları listelenmiştir.
Show Trace bağlantısına tıklayarak bulgu detayları incelenebilir.