Google geeft veiligheidstool voor controleren webapps vrij

Google heeft een scannertool vrijgegeven waarmee diverse veiligheidsaspecten van webapplicaties kunnen worden geanalyseerd. Skipfish is opensource en zou volautomatisch en op hoge snelheid webapps nalopen.

SkipfishSkipfish is geschreven in C en doorloopt een site op diverse veiligheidsaspecten, waaronder gesimuleerde aanvallen als dictionary attacks en cross-site scripting, zo stellen de makers. De tool zou op lokaal niveau meer dan 7000 requests per seconde op zijn doelwit kunnen afvuren en via een internetverbinding meer dan 500 requests behalen. De ontwikkelaars beloven dat het cpu- en geheugengebruik daarbij binnen de perken blijft. De eindresultaten worden in een interactieve sitemap gepresenteerd.

Volgens Google zijn tools als Skipfish nodig om de veiligheid van webapplicaties te beproeven, maar het geeft toe dat de scanner niet voor alle doeleinden geschikt is. Zo zou het niet alle voorschriften volgen die in de Web Application Security Scanner Evaluation Criteria zijn opgesomd.

Het vrijgeven van zelfontwikkelde tools is een logische stap van Google; dat eerder in hetzelfde genre ratproxy vrijgaf, een tool die passief websites op diverse veiligheidsproblemen controleert. Verder maakte de zoekgigant onder andere de code van zijn experimentele programmeertaal 'Go' opensource en gaf het enkele Javascript-tools vrij.

Skipfish

Door Dimitri Reijerman

Redacteur

Feedback • 22-03-2010 13:59 32

22-03-2010 • 13:59

32

Lees meer

Zoekmachines helpen ontwikkelaars data te structureren
Zoekmachines helpen ontwikkelaars data te structureren Nieuws van 3 juni 2011
Google beëindigt Gears-dienst
Google beëindigt Gears-dienst Nieuws van 14 maart 2011
Google geeft commandline-tool vrij voor toegang tot webdiensten
Google geeft commandline-tool vrij voor toegang tot webdiensten Nieuws van 20 juni 2010
Google neemt DocVerse over
Google neemt DocVerse over Nieuws van 6 maart 2010
Google laat Gears vallen en richt zich op html 5
Google laat Gears vallen en richt zich op html 5 Nieuws van 22 februari 2010
'Google werkt aan softwarewinkel voor zakelijke webapps'
'Google werkt aan softwarewinkel voor zakelijke webapps' Nieuws van 2 februari 2010
Google staakt ondersteuning voor IE6
Google staakt ondersteuning voor IE6 Nieuws van 31 januari 2010
'Google neemt DocVerse over voor 25 miljoen dollar'
'Google neemt DocVerse over voor 25 miljoen dollar' Nieuws van 21 december 2009
Google introduceert extensions en Chrome-bèta's voor Linux, Mac OS X
Google introduceert extensions en Chrome-bèta's voor Linux, Mac OS X Nieuws van 9 december 2009
Google begint publieke dns-dienst
Google begint publieke dns-dienst Nieuws van 4 december 2009
Google introduceert experimentele programmeertaal 'Go'
Google introduceert experimentele programmeertaal 'Go' Nieuws van 11 november 2009
Google geeft enkele van zijn Javascript-tools vrij
Google geeft enkele van zijn Javascript-tools vrij Nieuws van 6 november 2009
Meer producten en artikelen
Development tools Netwerk en systeembeheer Google Beveiliging Open source Webapplicaties

Reacties (32)

-Moderatie-faq
32
32
27
1
0
0
Wijzig sortering

Sorteer op:

Weergave:
_Thanatos_ 22 maart 2010 14:36
Jammer dat ze alleen broncode aanbieden, en geen gecompileerde versie. Ik heb echt geen zin om me drie slagen in de rondte te gaan werken om tot een exe te komen. Dat heb ik nml nog nooit op een soepele manier voor elkaar gekregen.
abeker @_Thanatos_22 maart 2010 15:47
Zo moeilijk is het nou ook weer niet. Ik heb deze tutorial gevolgd (is dus bedoeld voor ratproxy, maar de uitleg is ook bruikbaar voor skipfish), enige packages die ik extra moest selecteren zijn libidn-devel en zlib.
CodeCaster @abeker22 maart 2010 15:57
Moeilijk is wellicht anders, maar cygwin staat hier alweer twintig minuten te stampen op de installatie. Nee, ik heb geen high-end pc.

Het is voor de makers toch net zo makkelijk om even een executable voor Windows te compileren, dat scheelt honderden, zo niet duizenden mensen een hoop moeite om een omgeving te installeren die ze erna nooit meer gebruiken.
abeker @CodeCaster22 maart 2010 16:38
Nee het is niet net zo makkelijk, want dan had men eerst nog een port voor Windows moeten schrijven.

Maargoed, Skipfish staat hier al weer een uur te pruttelen (ja op een trage bak :P ) en dat op een simpele site met maar een paar pagina's. Misschien had ik beter niet de complete template kunnen gebruiken :P
CodeCaster @abeker22 maart 2010 19:57
Het is een commandline tool die op OpenSSL en zlib na geen rare libraries gebruikt, dus dat zou prima op Windows moeten kunnen draaien imho.
CAPSLOCK2000
@CodeCaster22 maart 2010 18:20
anti-script-kiddie beveiliging. Als het compileren van die code zo'n groot probleem is heb je waarschijnlijk ook niet de kennis in huis om de uitvoer van die tool te begrijpen.

Als auteur van een dergelijk programma wil je ook niet verantwoordelijk zijn voor een klaslokaal vol pubers die hun school website crashen met een dergelijke tool.
Jorik @_Thanatos_22 maart 2010 15:08
drie slagen in de rondte werken? even kijken...
jorik@seven:~/skipfish$ make
cc skipfish.c -o skipfish -Wall -funsigned-char -g -ggdb -D_FORTIFY_SOURCE=0 -I/usr/local/include/ -I/opt/local/include/ -O3 -Wno-format http_client.c database.c crawler.c analysis.c report.c -lcrypto -lssl -lidn -lz -L/usr/local/lib/ -L/opt/local/lib

NOTE: See dictionaries/README-FIRST to pick a dictionary for the tool.
dat was wel heel moeilijk... 8)7
CAPSLOCK2000
@Jorik22 maart 2010 15:17
Hij gebruikt windows en wil een .exe

Voor je make uberhaupt aan de gang hebt onder Windows ben je een paar hoofdstukken verder want dat is gebruikersvriendelijk.
_Thanatos_ @Jorik22 maart 2010 22:31
Als je dan ook ff een win32 exe maakt ;)
deadeyes @_Thanatos_22 maart 2010 16:24
Ben je al eens op de site geweest?

"The tool is believed to support Linux, FreeBSD 7.0+, MacOS X, and Windows (Cygwin) environments."

Doelpubliek is dus non-Windows. Maar als je wilt kan je het wel doen werken op windows.
smeetsmeister 22 maart 2010 14:02
Dit is reuze handig, even snel scannen ipv. zelf de broncode door te moeten lezen of het betrouwbaar is en mensen/zelf je site aan te vallen om het te controleren. Ik denk dat door deze tool het web wel wat veiliger word. Helemaal als de fouten ook met oplossingen worden weergegeven, zodat je makkelijk je site veiliger kan maken.
himlims_ @smeetsmeister22 maart 2010 14:06
Ik vraag me af hoe kundig zo iets werkt; bedoel als je kwaad wil, zijn er 1001 manieren (die iedere op eigen manier uitvoerd) wat het herleiden van een fout/storing/malware whatever lastig maakt.

kijk dingen als format c:/ blablabla worden ongetwijfeld herkend, maar cryptischer en met variabele etc. ... eerst zien dan geloven
Data-base @himlims_22 maart 2010 15:28
Allemaal niet echt waar. Heb de tool nog niet geprobeerd, maar er zijn twee opties:

- Als de tool gebruik maakt van static analysis, dan wordt de broncode geinterpreteerd en d.m.v. tainting wordt alle data in variabelen gevolgd. Sommige functies maken data veilig voor andere functies. Bv, als je een escape functie hebt voor sql, dan mag je pas je data in je sql queries stoppen als het door de escape functie is geweest. Zo'n aanpak is echter programmeertaal afhankelijk.

- Andere optie is om runtime input te generen waarvan bekend is dat het problemen veroorzaakt (bv html karakters, sql karakters, etc etc) en kijk dan naar de uitvoer.

Allebei de manieren hebben problemen en ze zijn zeer zeker neit feilloos, maar daar is het ook neit voor bedoeld. Het is bedoeld om een eerste check te hebben. Het is niet voor niks dat je code laten screenen op security fouten nog steeds zo mega duur is, t kost een hoop tijd om dat te doen en zoiets automatiseren is (bijna) niet mogelijk doordat een programmeertaal bijzonder expressief is.
EtHeO18 @Data-base23 maart 2010 09:36
Als de tool over een internetverbinding kan werken, en daar 500 requests per seconde over kan sturen, ga ik er van uit dat een static analysis onmogelijk is (tenzij er op miraculeuze wijze de broncode van een webapplicatie opgevraagd kan worden, en dan wil ik toch eens in de C source kijken :D ).
Wat er daadwerkelijk gebeurt is, denk ik, dat de applicatie scant op forms, die vult met speciale karakters (inderdaad voor XSS en SQL injection aanvallen, en wie weet wat nog meer). Daarnaast zal deze in urls proberen om "../.." etc neer te zetten, om te kijken of relatieve paden goed worden afgevangen. Maar om precies te weten wat het doet, moet je toch even in de C source kijken :)
smeetsmeister @himlims_22 maart 2010 14:09
ja dat zeker, maar door deze tool word het wel veiliger. Zelf zul je uiteraard die 1001 manieren ook niet kennen. Maar Deze tool kent er waarschijnlijk wel meer dan jezelf. En dan vind ik het dus wel handig dat deze tool er is. Natuurlijk gaat het nooit lukken om 100% veilig te zijn. Dan is er voor al die H4XZ0r's ook niks meer aan :P
Verwijderd @himlims_22 maart 2010 14:18
Tegenwoordig wordt er niet echt meer op regels gezocht omdat het onbegonnen werk is. Je gebruikt white/black lists of je laat iets los in een sandbox en kijkt of het zich vijandig gedraagt.

Voor Google lijkt het me enorm belangrijk om resources te sparen op het internet, dus zeer vreemd om dan ouderwetse manieren te gebruiken.
Xirt @himlims_22 maart 2010 15:30
Deze tool moet ervoor zorgen dat er geen 1001 manieren meer zijn, maar misschien 101; dat beperkt de mogelijkheden en vergroot dus de veiligheid :).
Rob Coops
@himlims_22 maart 2010 15:46
De meeste dingen waar men op zoekt zijn of het in theorie mogelijk is om misbruik te maken. Bijvoorbeeld simpele dingen als zijn files niet te vrijgevig wat betreft rechten. Kan ik scripts injecten, en kan ik bijvoorbeeld cross site scripting aanvallen gebruiken. Dat zijn veel gemaakte fouten in de beveiliging van websites.

Je moet niet vergeten dat 90% van de websites gebouwd is door mensen die niets anders doen dan voorbeelden van andere websites af plukken om hun site dan van meer mogelijkheden te voorzien etc. Maar als je kijkt naar de veiligheid van veel van deze voorbeeld code dan is het vaak om te huilen. Heel erg veel voorbeelden zijn gewoon niet veilig omdat ze bijvoorbeeld script injection gewoon toestaan en ook cross site scripting zonder enig probleem mogelijk maken.

De tool zal dus niet zo zeer alle mogelijke fouten vinden dat kan niemand en dat is al helemaal onmogelijk met een tool maar wel om de meest voorkomende methode van aanvallen te testen en te zien waar het mis gaat.
De tool al dan waarschijnlijk ook niet de code zelf lezen maar eerder gewoon proberen of het mogelijk is misbruik te maken van bekende lekken en dan vervolgens waarschuwen als de site in zo'n aanval trapt. Dat is een veel eenvoudigere manier om misbruik mogelijkheden te bewijzen dan door een gehele site te scannen en alle code op alle mogelijke manieren te doorlopen.
pietje63 @smeetsmeister22 maart 2010 14:08
Nadeel van het vrijgeven van deze tools is dat hij wellicht ook omgekeerd gebruikt kan worden. Als hacker zou ik met deze tool makkelijk kunnen kijken waar een potentieel lek in een website zit.
Cybergamer @pietje6322 maart 2010 14:58
Andere mensen die ook kundig zijn kunnen diezelfde lekken weer fixen in een update. :)
Rob Coops
@pietje6322 maart 2010 15:51
Veel hackers maken al gebruik van dit soort tools. Het zijn de automatische scans die je nog al eens in je acces logs tegen zal komen waarbij iemand probeert alle mogelijke index.php phpinfo.php blablabla.cgi etc allemaal te bezoeken. Alles wat ze vinden waarvan ze weten dat er een lek in zou kunnen zitten wordt dan automatisch getest op deze fouten, worden ze gevonden dan wordt de site meteen even bj de beheerder van de tool gemeld als zijnde een leuke target voor een hack poging.

Net als een crimineel die eerst eens langs de deuren gaat met een verkoop praatje om eens goed te kijken naar je deur en als het even kan ook binnen het hang en sluit werk komt bekijken voor een beslissing te maken wie vanavond de gelukkige is...
keesdewit @smeetsmeister22 maart 2010 15:16
Deze methode is niet waterdicht, je zal altijd andere methodes er op los moeten laten. (handmatig of niet)
B-ie-r 22 maart 2010 14:07
Ik zie het nut er niet echt van in? Als iemand kwade bedoelingen heeft dan code hij/zij (als dit echt groot wordt) er toch wel omheen..
Jeroen @B-ie-r22 maart 2010 14:17
Beter geen sloten op de deur want als iemand in je huis wil breekt hij de boel toch wel open.
B-ie-r @Jeroen22 maart 2010 14:19
Precies.. En zoals hieronder iemand zegt; " misbruik " ? :)
Mmore 22 maart 2010 14:08
Kan dit niet misbruikt worden om zwakheden te ontdekken, in plaats van gebruikt? :o
user109731 @Mmore22 maart 2010 14:14
Vast wel. Echter, iedereen kan zulke tools maken, en hackers beschikken vast al over scripts die hetzelfde doen. Dan heb ik liever dat iedereen er gebruik van kan maken dan dat alleen een paar kwaadwillenden erover beschikken. Hetzelfde geldt eigenlijk voor al dit soort software, software om geheugenproblemen te detecteren in C kan ook misbruikt worden voor exploits :)
Dorgaldir 22 maart 2010 14:19
Klinkt niet slecht, zoals al door een paar mensen gezegd kan het wel gebruikt worden om lekken op te sporen denk ik, maar dan nog.
Dat je software gebruikt word op een andere wijze dan dat het bedoeld is gebeurd wel meer, moet je als programmeur maar mee leren leven, of ervoor zorgen dat het enkel gebruikt kan worden voor dingen die je wil...

Maar ik zie er het positieve wel van in.
Equator Crew Council 22 maart 2010 14:42
Het lijkt een beetje op een gratis variant van SpiDynamics WebInspect. Daarmee kon je 5 jaar geleden ook al websites /webapplicaties bestormen met diverse typen aanvallen om kwetsbaarheden te achterhalen. Nadeel was wel dat je een slecht ontworpen webapp dus ook op zijn bek liet gaan.

Op zich is dit dus wel interessant, mits er inderdaad naar XSS, SQL Injection en dergelijke wordt gekeken. Dan kan je je webapp dus goed testen op domme fouten.
Verwijderd 22 maart 2010 18:20
Ik heb hem nu draaien, compilen ging goed nadat ik libidn geïnstalleerd had. Hij draait echter maar op 500 requests per seconde, terwijl het lokaal is. Zal er een check in zitten voor welk domein je gebruikt? Ik heb namelijk lokaal een server draaien die ook van buitenaf te bereiken is (domein resolved op laptop zelf naar localhost). Beetje jammer. :9
_eXistenZ_ 22 maart 2010 18:36
Ik zie uit naar de win32 app :) Tot die tijd wacht ik nog even.
wazzup105 23 maart 2010 14:51
Hoe stop je eigenlijk mensen die een dergelijke tool op je site (apache) loslaten ?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq