來源：http://www.zdnet.com.tw/news/web/0,2000085679,20144719,00.htm Google新發佈的開原碼網路安全掃描器Skipfish，是特別針對網路應用程式的安全漏洞。 Google開發者Michal Zalewski在Skipfish wiki表示，這項工具可掃瞄網路應用程式是否 含有一些「難以處理的狀況」，如Blind SQL插入式攻擊，或XML遠端程式注入等瑕疵。 Skipfish根據目錄調查目標網站，並在遞迴爬取（recursive crawl）後產生一份具備互 動crawl結果註釋的網站圖。該工具也能產生一份最終報告，作為軟體安全評估的根據。 Zalewski表示，目前還有若干商業和開原碼的掃瞄工具，包括Nikto和Nessus，他建議用 戶選用適合自己的工具。不過，Skipfish速度很快，依據被測試的伺服器性能，針對網際 網路目標每秒處理500次以上請求，針對LANs每秒處理2,000次以上請求。 Zalewski提醒，Skipfish無法抓出所有問題。該工具刻意不滿足應用程式安全聯盟之安全 掃瞄評估準則（Wasc Web Application Security Scanner Evaluation Criteria）列出 的所有要求。此外，Skipfish沒有附帶已知弱點的延伸資料庫。 Google請大家以負責的態度使用這項工具。Zalewski寫道：「首先要強調的是，請不要作 惡。只針對你擁有的服務使用Skipfish，或者先取得測試許可。」這項工具完全以C語言 編寫，授權採用Apache Licence 2.0。最新版本是Skipfish 1.10 beta。（陳智文/譯） Skipfish wiki http://code.google.com/p/skipfish/wiki/SkipfishDoc -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.119.234.140