SlideShare una empresa de Scribd logo

Skipfish

Mauro Parra-Miranda, profile picture
Mauro Parra-Miranda

Skipfish es una herramienta automatizada para escanear vulnerabilidades en sitios web de forma rápida y fácil de usar. Aplica diversas heurísticas para identificar problemas comunes como inyección SQL, XML y HTTP PUT. Se recomienda usar Skipfish solo para sitios propios con fines de pruebas de seguridad y no en servidores de producción.

Tecnología
1 de 8
Descargar para leer sin conexión
1
2
3
4
5
6
7
8
Skipfish mauropm@gmail.com
¿Qué es Skipfish? ● Un sistema automático para escanear vulnerabilidades en sitios web. ● Es rápido: Puede hacer 500+ requests por segundo a sitios web, 2000+ en sitios dentro de tu lan/wan y 7000+ requests en máquinas locales. ● Fácil de usar: usa heuristicas para reconocer patterns que uno pueda atacar, genera diccionarios automáticos – aprende--, analisis probabilistico para pegarle en varios lados en sitios complejos. ● Analisis varios de seguridad.
Más detalles... ● Skipfish aplica diversas heuristicas para poder identificar problemas comunes como: ● SQL Injection ● XML/XPath injection ● HTTP PUT ● Sintaxis sql en post/get. ● Integer overflow...
Etica ● Skipfish es una herramienta de gran poder. ● Con un gran poder, viene una gran responsabilidad: usa skipfish unicamente para tus propios sitios web para hacer analisis de seguridad. ● Ten cuidado en no aplicar eso en un servidor de producción, podría literalmente tirarlo. ● De nuevo: solo usa esta herramienta en tus propios sitios
Para probarlo... ● Baja el último código desde: http://code.google.com/p/skipfish ● Desempaqueta: ● tar xzvf skipfish-1.55b.tgz ● cd skipfish-1.55b ● Make ● Listo!
Ejecutando el programa ● Para correr el programa: ./skipfish -o output http://www.example.com ● Y a esperar. ● Veamos una prueba...
Recomendaciones ● Es importante que en cualquier sitio web que creen, revisen al menos con una herramienta como esta la seguridad de su sitio: tal vez apuntara a cosas obvias que podrian ser facilmente arreglables. ● Compartan estas ideas básicas con sus colegas desarrolladores: ellos lo agradeceran. Especialmente si se trata de un sitio bastante expuesto.
Ligas ● Skipfish - http://code.google.com/p/skipfish ● Docs skipfish - http://code.google.com/p/skipfish/wiki/SkipfishDoc ● Presentación - http://www.slideshare.net/mauropm ● Preguntas o comentarios - mauropm@gmail.com

Más contenido relacionado

PDF
Skipfish
Mauro Parra-Miranda
 
PDF
Madrid-GUG - ¡Micronaut en acción!
Iván López Martín
 
PDF
Uso de tecnologías modernas en joomla
Roberto Segura
 
PDF
Joomla como plataforma de eCommerce - Joomla Day La Rioja 2016
Pablo Arias
 
PDF
No instales software pirata en tu empresa, usa software libre
Francisco Javier Félix Belmonte
 
PDF
Introducción a Athento Platform
Athento
 
PDF
Introduccción a la programación en Joomla!
Roberto Segura
 
PDF
Java mission control para monitoreo, administración y profilig de aplicacion...
César Hernández
 
Skipfish
Mauro Parra-Miranda
 
Madrid-GUG - ¡Micronaut en acción!
Iván López Martín
 
Uso de tecnologías modernas en joomla
Roberto Segura
 
Joomla como plataforma de eCommerce - Joomla Day La Rioja 2016
Pablo Arias
 
No instales software pirata en tu empresa, usa software libre
Francisco Javier Félix Belmonte
 
Introducción a Athento Platform
Athento
 
Introduccción a la programación en Joomla!
Roberto Segura
 
Java mission control para monitoreo, administración y profilig de aplicacion...
César Hernández
 

La actualidad más candente (20)

PDF
Java mission control para monitoreo, administración y profilig de aplicacione...
César Hernández
 
PDF
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
César Hernández
 
PDF
Introducción a la programación para joomla
Roberto Segura
 
ODP
Grails barcamp 2013
Carlos Camacho
 
PDF
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
hidekel
 
ODP
Vaadin y Grails Barcamp 2013
Carlos Camacho
 
PDF
Grails en SG08
Domingo Suarez Torres
 
PDF
Administración de la calidad del software a través del análisis estático de c...
César Hernández
 
PPTX
Redefiniendo el MVC con Grails
Jose Juan R. Zuñiga
 
ODP
Seminario Grails
Escuela de Groovy
 
PDF
Groovy y Grails, y la pastilla roja
Escuela de Groovy
 
PPTX
Grails
Nicolás Bello Camilletti
 
KEY
Grails: Aumenta tu productividad en tus aplicaciones web Java
Dani Latorre
 
ODP
Dia1
Esau Rodriguez
 
ODP
Dia2
Esau Rodriguez
 
ODP
Taller Grails
Dani Latorre
 
PDF
Introducción a CoffeeScript
Javier Ferrer González
 
PDF
"Al rico" PHP
Carlos Buenosvinos
 
PPTX
Tech Meetup: How to solve 2 common problems in Android & iOS
Santex Group
 
PDF
Ecuador jug 2017 -incrementando la productividad de proyectos java ee con c...
César Hernández
 
Java mission control para monitoreo, administración y profilig de aplicacione...
César Hernández
 
Mejorando la productividad en proyectos java EE con CI y CD - OTN 2015
César Hernández
 
Introducción a la programación para joomla
Roberto Segura
 
Grails barcamp 2013
Carlos Camacho
 
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
hidekel
 
Vaadin y Grails Barcamp 2013
Carlos Camacho
 
Grails en SG08
Domingo Suarez Torres
 
Administración de la calidad del software a través del análisis estático de c...
César Hernández
 
Redefiniendo el MVC con Grails
Jose Juan R. Zuñiga
 
Seminario Grails
Escuela de Groovy
 
Groovy y Grails, y la pastilla roja
Escuela de Groovy
 
Grails
Nicolás Bello Camilletti
 
Grails: Aumenta tu productividad en tus aplicaciones web Java
Dani Latorre
 
Dia1
Esau Rodriguez
 
Dia2
Esau Rodriguez
 
Taller Grails
Dani Latorre
 
Introducción a CoffeeScript
Javier Ferrer González
 
"Al rico" PHP
Carlos Buenosvinos
 
Tech Meetup: How to solve 2 common problems in Android & iOS
Santex Group
 
Ecuador jug 2017 -incrementando la productividad de proyectos java ee con c...
César Hernández
 
Publicidad

Destacado (8)

PPT
Presentación ppt
Dina Bario
 
PPTX
Universidad catolica tecnologica del cibao
Vladimir Aybar
 
DOCX
Mrinal CBI
MRINAL CHAMAN
 
PPT
Consuelo
consuelofernandez
 
PPT
Ap Redacao SmS Iec Puc
Graziela Andrade
 
PPS
Cachorros
Ronaldo Rossi
 
PPS
Quem Eu S
Ronaldo Rossi
 
PPS
Quem Eu S
Ronaldo Rossi
 
Presentación ppt
Dina Bario
 
Universidad catolica tecnologica del cibao
Vladimir Aybar
 
Mrinal CBI
MRINAL CHAMAN
 
Consuelo
consuelofernandez
 
Ap Redacao SmS Iec Puc
Graziela Andrade
 
Cachorros
Ronaldo Rossi
 
Quem Eu S
Ronaldo Rossi
 
Quem Eu S
Ronaldo Rossi
 
Publicidad

Similar a Skipfish (20)

DOCX
Editor Bluefish
'Jhoy Sotillo
 
PPTX
Métodos vulnerabilidad activos
Alexander Velasque Rimac
 
PDF
Hacking ético [Pentest]
Eduardo Arriols Nuñez
 
PPTX
Skipfish web application security scanner
Tensor
 
PPT
Escaner de vulnerabilidades - Skipfish
Wilson Vargas Agurto
 
PPTX
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México
 
PDF
Episodio de pentesting
akencito
 
PPTX
Skipfish web application security scanner
Tensor
 
PPTX
Skipfish web application security scanner
Tensor
 
PPT
Skipfish web application security scanner
Tensor
 
PDF
Índice del libro: "Python para pentesters" [2ª Edición] de 0xWord
Chema Alonso
 
PDF
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
peter69
 
PDF
Scripting para Pentesters v1.0
wcuestas
 
DOCX
Trabajo de seguridad informatica 1
Carlos Alderete
 
PPT
Maitaining access
Tensor
 
PPTX
Web crawlers
Tensor
 
PPTX
Web crawlers
Tensor
 
PPTX
Web crawlers
Tensor
 
PPTX
Web crawlers
Tensor
 
PPTX
Web crawlers
Tensor
 
Editor Bluefish
'Jhoy Sotillo
 
Métodos vulnerabilidad activos
Alexander Velasque Rimac
 
Hacking ético [Pentest]
Eduardo Arriols Nuñez
 
Skipfish web application security scanner
Tensor
 
Escaner de vulnerabilidades - Skipfish
Wilson Vargas Agurto
 
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México
 
Episodio de pentesting
akencito
 
Skipfish web application security scanner
Tensor
 
Skipfish web application security scanner
Tensor
 
Skipfish web application security scanner
Tensor
 
Índice del libro: "Python para pentesters" [2ª Edición] de 0xWord
Chema Alonso
 
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
peter69
 
Scripting para Pentesters v1.0
wcuestas
 
Trabajo de seguridad informatica 1
Carlos Alderete
 
Maitaining access
Tensor
 
Web crawlers
Tensor
 
Web crawlers
Tensor
 
Web crawlers
Tensor
 
Web crawlers
Tensor
 
Web crawlers
Tensor
 

Más de Mauro Parra-Miranda (20)

PDF
Configuraciones inseguras
Mauro Parra-Miranda
 
PPTX
Cloudevel - Microsoft Azure - 101
Mauro Parra-Miranda
 
PDF
¿Cómo crear un dream team de ciberseguridad?
Mauro Parra-Miranda
 
PPTX
Startuplie - un ejercicio de sinceridad en español
Mauro Parra-Miranda
 
PDF
Usando azure para escalar tu producto
Mauro Parra-Miranda
 
PPTX
AWS Summit Mexico City 2018 - Usando Elastic Beanstalk
Mauro Parra-Miranda
 
PDF
Fractura Sismo
Mauro Parra-Miranda
 
PDF
Del startup al negocio, the missing manual
Mauro Parra-Miranda
 
PDF
AppHack GDL 2013
Mauro Parra-Miranda
 
PDF
Cómo crear un dream team técnico - CPMX4 - 2013
Mauro Parra-Miranda
 
PDF
NodeJS @ ACS
Mauro Parra-Miranda
 
PDF
Alloy Preview
Mauro Parra-Miranda
 
PDF
Programando Windows Phone con Phonegap
Mauro Parra-Miranda
 
PDF
Mercado de Móviles: Una visión global
Mauro Parra-Miranda
 
PDF
Economía de las Apps
Mauro Parra-Miranda
 
PDF
Mobileads
Mauro Parra-Miranda
 
PDF
Frameworks iOS
Mauro Parra-Miranda
 
PDF
Desarrollando Apps móviles con Titanium Studio
Mauro Parra-Miranda
 
PDF
Desarrollando Apps móviles con Titanium Studio
Mauro Parra-Miranda
 
PDF
Moviles
Mauro Parra-Miranda
 
Configuraciones inseguras
Mauro Parra-Miranda
 
Cloudevel - Microsoft Azure - 101
Mauro Parra-Miranda
 
¿Cómo crear un dream team de ciberseguridad?
Mauro Parra-Miranda
 
Startuplie - un ejercicio de sinceridad en español
Mauro Parra-Miranda
 
Usando azure para escalar tu producto
Mauro Parra-Miranda
 
AWS Summit Mexico City 2018 - Usando Elastic Beanstalk
Mauro Parra-Miranda
 
Fractura Sismo
Mauro Parra-Miranda
 
Del startup al negocio, the missing manual
Mauro Parra-Miranda
 
AppHack GDL 2013
Mauro Parra-Miranda
 
Cómo crear un dream team técnico - CPMX4 - 2013
Mauro Parra-Miranda
 
NodeJS @ ACS
Mauro Parra-Miranda
 
Alloy Preview
Mauro Parra-Miranda
 
Programando Windows Phone con Phonegap
Mauro Parra-Miranda
 
Mercado de Móviles: Una visión global
Mauro Parra-Miranda
 
Economía de las Apps
Mauro Parra-Miranda
 
Mobileads
Mauro Parra-Miranda
 
Frameworks iOS
Mauro Parra-Miranda
 
Desarrollando Apps móviles con Titanium Studio
Mauro Parra-Miranda
 
Desarrollando Apps móviles con Titanium Studio
Mauro Parra-Miranda
 
Moviles
Mauro Parra-Miranda
 

Último (20)

PDF
Estrategia de apoyo tecnología miguel angel solis
edepmiguelsolis
 
PPTX
RAP02 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
PPTX
Propuesta BKP servidores con Acronis1.pptx
CarlosAndresuztes
 
PDF
Plantilla para Diseño de Narrativas Transmedia.pdf
veronicafernandezab
 
PPTX
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
PPT
Que son las redes de computadores y sus partes
AldamirJoseAvilaBena
 
PPTX
Power Point Nicolás Carrasco (disertación Roblox).pptx
JoseCarrasco807534
 
PDF
5.1 Pinch y Bijker en libro Actos, actores y artefactos de Bunch Thomas (coor...
veronicafernandezab
 
PDF
Diapositiva proyecto de vida, materia catedra
mpruiz3
 
PPTX
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
PPT
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
PPTX
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
PDF
CyberOps Associate - Cisco Networking Academy
VICTOR MAESTRE RAMIREZ
 
PPTX
IA de Cine - Como MuleSoft y los Agentes estan redefiniendo la realidad
Felipe González
 
PDF
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
PDF
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
PPTX
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
PPTX
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
PPTX
Sesion 1 de microsoft power point - Clase 1
carlosmedina2810
 
DOCX
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 
Estrategia de apoyo tecnología miguel angel solis
edepmiguelsolis
 
RAP02 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
Propuesta BKP servidores con Acronis1.pptx
CarlosAndresuztes
 
Plantilla para Diseño de Narrativas Transmedia.pdf
veronicafernandezab
 
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
Que son las redes de computadores y sus partes
AldamirJoseAvilaBena
 
Power Point Nicolás Carrasco (disertación Roblox).pptx
JoseCarrasco807534
 
5.1 Pinch y Bijker en libro Actos, actores y artefactos de Bunch Thomas (coor...
veronicafernandezab
 
Diapositiva proyecto de vida, materia catedra
mpruiz3
 
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
CyberOps Associate - Cisco Networking Academy
VICTOR MAESTRE RAMIREZ
 
IA de Cine - Como MuleSoft y los Agentes estan redefiniendo la realidad
Felipe González
 
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
Sesion 1 de microsoft power point - Clase 1
carlosmedina2810
 
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 

Skipfish

  • 2. ¿Qué es Skipfish? ● Un sistema automático para escanear vulnerabilidades en sitios web. ● Es rápido: Puede hacer 500+ requests por segundo a sitios web, 2000+ en sitios dentro de tu lan/wan y 7000+ requests en máquinas locales. ● Fácil de usar: usa heuristicas para reconocer patterns que uno pueda atacar, genera diccionarios automáticos – aprende--, analisis probabilistico para pegarle en varios lados en sitios complejos. ● Analisis varios de seguridad.
  • 3. Más detalles... ● Skipfish aplica diversas heuristicas para poder identificar problemas comunes como: ● SQL Injection ● XML/XPath injection ● HTTP PUT ● Sintaxis sql en post/get. ● Integer overflow...
  • 4. Etica ● Skipfish es una herramienta de gran poder. ● Con un gran poder, viene una gran responsabilidad: usa skipfish unicamente para tus propios sitios web para hacer analisis de seguridad. ● Ten cuidado en no aplicar eso en un servidor de producción, podría literalmente tirarlo. ● De nuevo: solo usa esta herramienta en tus propios sitios
  • 5. Para probarlo... ● Baja el último código desde: http://code.google.com/p/skipfish ● Desempaqueta: ● tar xzvf skipfish-1.55b.tgz ● cd skipfish-1.55b ● Make ● Listo!
  • 6. Ejecutando el programa ● Para correr el programa: ./skipfish -o output http://www.example.com ● Y a esperar. ● Veamos una prueba...
  • 7. Recomendaciones ● Es importante que en cualquier sitio web que creen, revisen al menos con una herramienta como esta la seguridad de su sitio: tal vez apuntara a cosas obvias que podrian ser facilmente arreglables. ● Compartan estas ideas básicas con sus colegas desarrolladores: ellos lo agradeceran. Especialmente si se trata de un sitio bastante expuesto.
  • 8. Ligas ● Skipfish - http://code.google.com/p/skipfish ● Docs skipfish - http://code.google.com/p/skipfish/wiki/SkipfishDoc ● Presentación - http://www.slideshare.net/mauropm ● Preguntas o comentarios - mauropm@gmail.com