来源:德胜网
3月22日,据国外媒体报道,正如有人管理Web应用程序,通过一系列相当全面的测试设置,skipfish是一个非常方便快捷的方式来运行您的网站。3月20日,谷歌正式公开发布该工具以希望帮助使网络更加安全。
Skipfish通过一系列检测高,中和低风险漏洞的测试运行。风险较高的部分包括:
|服务器端SQL注入(包括blind vectors,数值参数)。
|明确的类似SQL的语法的GET或POST参数。
|服务器端shell命令注入(包括blind vectors)。
|服务器端的XML / XPath注入(包括blind vectors)。
|格式字符串漏洞。
|整数溢出漏洞。
这些具体漏洞能导致系统陷入危险 — 提前并主动检测它们肯定是值得做的事情。
但这不是它的同类的唯一工具。有几个免费的和商业的可以做同样工作的工具可用(如Nikto2和Nessus) — 在某些情况下更好。无论如何是人们开始认真对待安全问题的时间了,并使用这样的一个工具是正确的方向迈出的第一步。