Skipfish : outil d'audit de sécurité pour les applications web

Chez groupeReflect, la cellulle Testing – Qualité utilise habituellement différents outils permettant de vérifier la sécurité des applications que nous développons. Parmi ceux-là, RATS et Nikto font partie de ceux que nous utilisons et qui font, également, partie des logiciels d‘audit de sécurité d’applications web les plus usités sur le web. Cependant, cette hiérarchie pourrait être modifiée avec l’arrivée d’un  nouveau venu : skipfish.

Publié sous licence Apache 2, ce soft est écrit  par Michal Zalewski, hacker white hat, employé du département Sécurité chez Google. Ecrit en C, skipfish serait à même de simuler une foultitude d’attaques : injection SQL ou XML, Cross-Site Scripting (XSS), tentatives de connexion SSL… Avec la possibilité d’envoyer 500 requêtes à la seconde avec une configuration moyenne, sans pour autant prendre trop de ressource (un énorme avantage) , d’apprendre grâce à la reconnaissance heuristique des chemins et paramètres, de la gestion personnalisé de la pile HTTP, skipfish semble plus que prometteur. On pourra regretter qu’il ne prenne pas encore en compte l’ensemble des critères d’évaluation de sécurité listés par le Web Application Security Consortium mais skipfish a emprunté le bon chemin et viendra renforcer, après évaluation et confirmation, les batteries de tests que nous lançons sur  nos applications.