Google-Tool Skipfish testet die Web-Security

Google hat ein kleines Tool veröffentlicht, mit dessen Hilfe sich Web-Anwendungen auf Sicherheitslücken überprüfen lassen. Skipfish funktioniert ähnlich wie die bekannten Programme Nmap und Nessus. So können Entwickler unter anderem Cross-Site-Skripting-Lücken finden und Anfälligkeiten für SQL- und XML-Injection-Angriffe aufdecken. Dank heuristischer Methoden findet sich Skipfish auch in Web-Applikationen zurecht, die verschiedene Technologien kombinieren. Zudem lernt das Tool mit der Zeit die Testumgebung kennen.

Skipfish wurde in C geschrieben und soll laut Google rund 2.000 HTTP-Anfragen pro Sekunde ausführen können, sofern der Server mit dieser Last umgehen kann. In lokalen Netzwerken sind auch deutlich höhere Anfragefrequenzen möglich. Die Belastung der CPU sowie der Speicherverbrauch bleiben moderat.

Google verwendet Skipfish auch für die eigenen Web-Anwendungen, um Schwachstellen ausfindig zu machen. Die Entwickler weisen jedoch darauf hin, dass die WASC-Kriterien (Web Application Security Scanner Evaluation Criteria) nicht erfüllt werden und somit keine vollständige Sicherheitsüberprüfung vorliegt.