SkipfishはSQLインジェクションをはじめWeb向けの脆弱性を発見するソフトウェア。

SkipfishはGoogle製のオープンソース・ソフトウェア。2011年になってセキュリティインシデント関係の話題が飛び交っている。特に大きいのはソニーだろう。あそこまでの規模は相当珍しいが、何も対岸の火事という訳ではない。

オプション

セキュリティホールを狙うのは人間に限らない。日々クローラーがWebサイトにアクセスしてセキュリティホールを狙っているのだ。狙われる前にSkipfishを使って自主的にチェックしてみよう。

SkipfishはGoogleが開発したセキュリティチェックソフトウェアだ。ターミナルで動作するソフトウェアで、指定したURLに対してSQLインジェクションやXSSなどWebアプリケーションが狙われやすい脆弱性をついてくる。結果はHTMLベースのレポートとして出力される。

結果はHTMLで確認できる

検査項目はリスクの高さによって何段階かに分かれている。また、高速性が売りでLANであれば2,000リクエスト以上/秒、インターネット経由でも500リクエスト以上/秒で検査を行える。Cookieも使えるのでログイン後のチェックにも利用できる。無数のWebサイトを見てきたGoogleならではのノウハウが詰まった便利なソフトウェアだ。

MOONGIFTはこう見る

セキュリティホールを敢えて仕込もうと思わないだろう。たまたま作り方であったり、システムの組み方によって生まれてしまうこともある。また、プログラミング言語やWebサーバ側に問題があって、システム自体では防げない場合もある。

だからSkipfishのようなツールを定期的に実行し、問題がないか確認しなければならない。今日問題がなくとも明日には問題になる可能性もある。セキュリティチェックツールというと、ポートスキャンやバッファーオーバーフローが有名だが、Webアプリケーションならではのチェックも行っておくべきだ。

skipfish - web application security scanner - Google Project Hosting