SlideShare ist ein Scribd-Unternehmen logo

Skipfish

Mauro Parra-Miranda
Mauro Parra-Miranda

Plática de Skipfish en Campus Party MX 2010

Technologie
1 von 9
Downloaden Sie, um offline zu lesen
Skipfish mauropm@gmail.com
¿Qué es Skipfish? ● Un sistema automático para escanear vulnerabilidades en sitios web. ● Es rápido: Puede hacer 500+ requests por segundo a sitios web, 2000+ en sitios dentro de tu lan/wan y 7000+ requests en máquinas locales. ● Fácil de usar: usa heuristicas para reconocer patterns que uno pueda atacar, genera diccionarios automáticos – aprende--, analisis probabilistico para pegarle en varios lados en sitios complejos. ● Analisis varios de seguridad.
Más detalles... ● Skipfish aplica diversas heuristicas para poder identificar problemas comunes como: ● SQL Injection ● XML/XPath injection ● HTTP PUT ● Sintaxis sql en post/get. ● Integer overflow ● Problemas de MIME-charset ● Directivas incorrectas de cache ● Cross-site scripting XSS
Etica ● Skipfish es una herramienta de gran poder. ● Con un gran poder, viene una gran responsabilidad: usa skipfish unicamente para tus propios sitios web para hacer analisis de seguridad. ● Ten cuidado en no aplicar eso en un servidor de producción, podría literalmente tirarlo. ● De nuevo: solo usa esta herramienta en tus propios sitios
Para probarlo... ● Baja el último código desde: http://code.google.com/p/skipfish ● Desempaqueta: ● tar xzvf skipfish-1.55b.tgz ● cd skipfish-1.55b ● Make ● Listo!
Ejecutando el programa ● Para correr el programa: ./skipfish -o output http://www.example.com ● Y a esperar. ● Veamos una prueba...
Simulación de DOS ● Aparte de funcionar para ver los posibles hoyos de seguridad de tu app, tambien te ayuda a simular un ataque de DOS en tu app; para que veas como reaccionaria y que estrategía pudieras tomar. ● Yo revise un servidor (de producción) y... se cayo! YAY! Gran sabado. #NOT ● Repito, no lo hagan en casa sin la supervisión de un adulto ;)
Recomendaciones ● Es importante que en cualquier sitio web que creen, revisen al menos con una herramienta como esta la seguridad de su sitio: tal vez apuntara a cosas obvias que podrian ser facilmente arreglables. ● Compartan estas ideas básicas con sus colegas desarrolladores: ellos lo agradeceran. Especialmente si se trata de un sitio bastante expuesto.
Ligas ● Skipfish - http://code.google.com/p/skipfish ● Docs skipfish - http://code.google.com/p/skipfish/wiki/SkipfishDoc ● Presentación - http://www.slideshare.net/mauropm ● Preguntas o comentarios - mauropm@gmail.com

Empfohlen

Skipfish
SkipfishSkipfish
Skipfish
Mauro Parra-Miranda
 
Uso de tecnologías modernas en joomla
Uso de tecnologías modernas en joomlaUso de tecnologías modernas en joomla
Uso de tecnologías modernas en joomla
Roberto Segura
 
Joomla como plataforma de eCommerce - Joomla Day La Rioja 2016
Joomla como plataforma de eCommerce - Joomla Day La Rioja 2016Joomla como plataforma de eCommerce - Joomla Day La Rioja 2016
Joomla como plataforma de eCommerce - Joomla Day La Rioja 2016
Pablo Arias
 
Introduccción a la programación en Joomla!
Introduccción a la programación en Joomla!Introduccción a la programación en Joomla!
Introduccción a la programación en Joomla!
Roberto Segura
 
No instales software pirata en tu empresa, usa software libre
No instales software pirata en tu empresa, usa software libre No instales software pirata en tu empresa, usa software libre
No instales software pirata en tu empresa, usa software libre
Francisco Javier Félix Belmonte
 
Desarrollo tecnologias software_libre_open_source
Desarrollo tecnologias software_libre_open_sourceDesarrollo tecnologias software_libre_open_source
Desarrollo tecnologias software_libre_open_source
Mario IC
 
Introducción a la programación para joomla
Introducción a la programación para joomlaIntroducción a la programación para joomla
Introducción a la programación para joomla
Roberto Segura
 
Introducción a Athento Platform
Introducción a Athento PlatformIntroducción a Athento Platform
Introducción a Athento Platform
Athento
 

Empfohlen

Skipfish
SkipfishSkipfish
Skipfish
Mauro Parra-Miranda
 
Uso de tecnologías modernas en joomla
Uso de tecnologías modernas en joomlaUso de tecnologías modernas en joomla
Uso de tecnologías modernas en joomla
Roberto Segura
 
Joomla como plataforma de eCommerce - Joomla Day La Rioja 2016
Joomla como plataforma de eCommerce - Joomla Day La Rioja 2016Joomla como plataforma de eCommerce - Joomla Day La Rioja 2016
Joomla como plataforma de eCommerce - Joomla Day La Rioja 2016
Pablo Arias
 
Introduccción a la programación en Joomla!
Introduccción a la programación en Joomla!Introduccción a la programación en Joomla!
Introduccción a la programación en Joomla!
Roberto Segura
 
No instales software pirata en tu empresa, usa software libre
No instales software pirata en tu empresa, usa software libre No instales software pirata en tu empresa, usa software libre
No instales software pirata en tu empresa, usa software libre
Francisco Javier Félix Belmonte
 
Desarrollo tecnologias software_libre_open_source
Desarrollo tecnologias software_libre_open_sourceDesarrollo tecnologias software_libre_open_source
Desarrollo tecnologias software_libre_open_source
Mario IC
 
Introducción a la programación para joomla
Introducción a la programación para joomlaIntroducción a la programación para joomla
Introducción a la programación para joomla
Roberto Segura
 
Introducción a Athento Platform
Introducción a Athento PlatformIntroducción a Athento Platform
Introducción a Athento Platform
Athento
 
Madrid-GUG - ¡Micronaut en acción!
Madrid-GUG - ¡Micronaut en acción!Madrid-GUG - ¡Micronaut en acción!
Madrid-GUG - ¡Micronaut en acción!
Iván López Martín
 
Bugs patches, trabajando con la comunidad de Drupal
Bugs patches, trabajando con la comunidad de DrupalBugs patches, trabajando con la comunidad de Drupal
Bugs patches, trabajando con la comunidad de Drupal
Manuel Garcia
 
¿Por qué open source?
¿Por qué open source?¿Por qué open source?
¿Por qué open source?
Ana María Martínez Gómez
 
"Al rico" PHP
"Al rico" PHP"Al rico" PHP
"Al rico" PHP
Carlos Buenosvinos
 
Cómo contribuir en Proyectos de Código Abierto
Cómo contribuir en Proyectos de Código AbiertoCómo contribuir en Proyectos de Código Abierto
Cómo contribuir en Proyectos de Código Abierto
Agile Express Ecuador / Thoughtworks
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
Alonso Caballero
 
Enterprise PHP (PHPBarcelona en Lancelona)
Enterprise PHP (PHPBarcelona en Lancelona)Enterprise PHP (PHPBarcelona en Lancelona)
Enterprise PHP (PHPBarcelona en Lancelona)
Oriol Jiménez
 
Grails en SG08
Grails en SG08Grails en SG08
Grails en SG08
Domingo Suarez Torres
 
#MM17ES - Theming en Magento 2 usando un framework de front-end
#MM17ES - Theming en Magento 2 usando un framework de front-end#MM17ES - Theming en Magento 2 usando un framework de front-end
#MM17ES - Theming en Magento 2 usando un framework de front-end
Rubén Rodríguez
 
Ensamblaje de una computadora
Ensamblaje de una computadoraEnsamblaje de una computadora
Ensamblaje de una computadora
Hugo Franco Napán
 
Pucela testingdays testing_en_php
Pucela testingdays testing_en_phpPucela testingdays testing_en_php
Pucela testingdays testing_en_php
Isidro Merayo Castellano
 
Infraestructura como código
Infraestructura como códigoInfraestructura como código
Infraestructura como código
Juanje Ojeda
 
Java script
Java scriptJava script
Java script
Juan Pablo Maldonado
 
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
hidekel
 
Conferencia sobre "Scripting en gvSIG" con la versión 2.x
Conferencia sobre "Scripting en gvSIG" con la versión 2.xConferencia sobre "Scripting en gvSIG" con la versión 2.x
Conferencia sobre "Scripting en gvSIG" con la versión 2.x
Óscar Martínez Olmos
 
Dia1
Dia1Dia1
Dia1
Esau Rodriguez
 
Dia2
Dia2Dia2
Dia2
Esau Rodriguez
 
Blazor, un nuevo framework .NET
Blazor, un nuevo framework .NETBlazor, un nuevo framework .NET
Blazor, un nuevo framework .NET
Jonathan González
 
Grails barcamp 2013
Grails barcamp 2013Grails barcamp 2013
Grails barcamp 2013
Carlos Camacho
 
Ansible para Gestión de la configuración y Automatización
Ansible para Gestión de la configuración y AutomatizaciónAnsible para Gestión de la configuración y Automatización
Ansible para Gestión de la configuración y Automatización
sergiovier
 
Alloy Preview
Alloy PreviewAlloy Preview
Alloy Preview
Mauro Parra-Miranda
 
Economía de las Apps
Economía de las AppsEconomía de las Apps
Economía de las Apps
Mauro Parra-Miranda
 

Weitere ähnliche Inhalte

Was ist angesagt?

¿Por qué open source?
¿Por qué open source?¿Por qué open source?
¿Por qué open source?
Ana María Martínez Gómez
 
Cómo contribuir en Proyectos de Código Abierto
Cómo contribuir en Proyectos de Código AbiertoCómo contribuir en Proyectos de Código Abierto
Cómo contribuir en Proyectos de Código Abierto
Agile Express Ecuador / Thoughtworks
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
Alonso Caballero
 
Enterprise PHP (PHPBarcelona en Lancelona)
Enterprise PHP (PHPBarcelona en Lancelona)Enterprise PHP (PHPBarcelona en Lancelona)
Enterprise PHP (PHPBarcelona en Lancelona)
Oriol Jiménez
 

Was ist angesagt? (20)

Madrid-GUG - ¡Micronaut en acción!
Madrid-GUG - ¡Micronaut en acción!Madrid-GUG - ¡Micronaut en acción!
Madrid-GUG - ¡Micronaut en acción!
 
Bugs patches, trabajando con la comunidad de Drupal
Bugs patches, trabajando con la comunidad de DrupalBugs patches, trabajando con la comunidad de Drupal
Bugs patches, trabajando con la comunidad de Drupal
 
¿Por qué open source?
¿Por qué open source?¿Por qué open source?
¿Por qué open source?
 
"Al rico" PHP
"Al rico" PHP"Al rico" PHP
"Al rico" PHP
 
Cómo contribuir en Proyectos de Código Abierto
Cómo contribuir en Proyectos de Código AbiertoCómo contribuir en Proyectos de Código Abierto
Cómo contribuir en Proyectos de Código Abierto
 
Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"Webinar Gratuito "Zed Attack Proxy"
Webinar Gratuito "Zed Attack Proxy"
 
Enterprise PHP (PHPBarcelona en Lancelona)
Enterprise PHP (PHPBarcelona en Lancelona)Enterprise PHP (PHPBarcelona en Lancelona)
Enterprise PHP (PHPBarcelona en Lancelona)
 
Grails en SG08
Grails en SG08Grails en SG08
Grails en SG08
 
#MM17ES - Theming en Magento 2 usando un framework de front-end
#MM17ES - Theming en Magento 2 usando un framework de front-end#MM17ES - Theming en Magento 2 usando un framework de front-end
#MM17ES - Theming en Magento 2 usando un framework de front-end
 
Ensamblaje de una computadora
Ensamblaje de una computadoraEnsamblaje de una computadora
Ensamblaje de una computadora
 
Pucela testingdays testing_en_php
Pucela testingdays testing_en_phpPucela testingdays testing_en_php
Pucela testingdays testing_en_php
 
Infraestructura como código
Infraestructura como códigoInfraestructura como código
Infraestructura como código
 
Java script
Java scriptJava script
Java script
 
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?FirebugNext ¿Qué se viene en la nueva versión de Firebug?
FirebugNext ¿Qué se viene en la nueva versión de Firebug?
 
Conferencia sobre "Scripting en gvSIG" con la versión 2.x
Conferencia sobre "Scripting en gvSIG" con la versión 2.xConferencia sobre "Scripting en gvSIG" con la versión 2.x
Conferencia sobre "Scripting en gvSIG" con la versión 2.x
 
Dia1
Dia1Dia1
Dia1
 
Dia2
Dia2Dia2
Dia2
 
Blazor, un nuevo framework .NET
Blazor, un nuevo framework .NETBlazor, un nuevo framework .NET
Blazor, un nuevo framework .NET
 
Grails barcamp 2013
Grails barcamp 2013Grails barcamp 2013
Grails barcamp 2013
 
Ansible para Gestión de la configuración y Automatización
Ansible para Gestión de la configuración y AutomatizaciónAnsible para Gestión de la configuración y Automatización
Ansible para Gestión de la configuración y Automatización
 

Andere mochten auch

Manual inedito-de-lengua-espanola-para-ninos-de-6-anos
Manual inedito-de-lengua-espanola-para-ninos-de-6-anosManual inedito-de-lengua-espanola-para-ninos-de-6-anos
Manual inedito-de-lengua-espanola-para-ninos-de-6-anos
carlafig
 
Manual de utilização do sistema netn fe
Manual de utilização do sistema netn feManual de utilização do sistema netn fe
Manual de utilização do sistema netn fe
José Salomão
 
Analisis De La Encuestas Eq 1 9 D
Analisis De La Encuestas Eq 1 9 DAnalisis De La Encuestas Eq 1 9 D
Analisis De La Encuestas Eq 1 9 D
Jeison Hurtado
 

Andere mochten auch (20)

Alloy Preview
Alloy PreviewAlloy Preview
Alloy Preview
 
Economía de las Apps
Economía de las AppsEconomía de las Apps
Economía de las Apps
 
Mercado de Móviles: Una visión global
Mercado de Móviles: Una visión globalMercado de Móviles: Una visión global
Mercado de Móviles: Una visión global
 
Cómo crear un dream team técnico - CPMX4 - 2013
Cómo crear un dream team técnico - CPMX4 - 2013Cómo crear un dream team técnico - CPMX4 - 2013
Cómo crear un dream team técnico - CPMX4 - 2013
 
Mobileads
MobileadsMobileads
Mobileads
 
Programando Windows Phone con Phonegap
Programando Windows Phone con PhonegapProgramando Windows Phone con Phonegap
Programando Windows Phone con Phonegap
 
AppHack GDL 2013
AppHack GDL 2013AppHack GDL 2013
AppHack GDL 2013
 
NodeJS @ ACS
NodeJS @ ACSNodeJS @ ACS
NodeJS @ ACS
 
Palestra Infnet: Planejamento e gerenciamento de sites institucionais e hotsi...
Palestra Infnet: Planejamento e gerenciamento de sites institucionais e hotsi...Palestra Infnet: Planejamento e gerenciamento de sites institucionais e hotsi...
Palestra Infnet: Planejamento e gerenciamento de sites institucionais e hotsi...
 
Publicidad sobre el cigarrillo
Publicidad sobre el cigarrillo Publicidad sobre el cigarrillo
Publicidad sobre el cigarrillo
 
35671
3567135671
35671
 
Manual inedito-de-lengua-espanola-para-ninos-de-6-anos
Manual inedito-de-lengua-espanola-para-ninos-de-6-anosManual inedito-de-lengua-espanola-para-ninos-de-6-anos
Manual inedito-de-lengua-espanola-para-ninos-de-6-anos
 
HPD
HPDHPD
HPD
 
35674
3567435674
35674
 
34378
3437834378
34378
 
Manual de utilização do sistema netn fe
Manual de utilização do sistema netn feManual de utilização do sistema netn fe
Manual de utilização do sistema netn fe
 
Misteriosnaturales
MisteriosnaturalesMisteriosnaturales
Misteriosnaturales
 
Dispositivo Ambiental
Dispositivo AmbientalDispositivo Ambiental
Dispositivo Ambiental
 
Plataformas sociais e a Marinha dos EUA: utilização eficaz
Plataformas sociais e a Marinha dos EUA: utilização eficazPlataformas sociais e a Marinha dos EUA: utilização eficaz
Plataformas sociais e a Marinha dos EUA: utilização eficaz
 
Analisis De La Encuestas Eq 1 9 D
Analisis De La Encuestas Eq 1 9 DAnalisis De La Encuestas Eq 1 9 D
Analisis De La Encuestas Eq 1 9 D
 

Ähnlich wie Skipfish

Gwt seminario java_hispano_manolocarrasco
Gwt seminario java_hispano_manolocarrascoGwt seminario java_hispano_manolocarrasco
Gwt seminario java_hispano_manolocarrasco
Manuel Carrasco Moñino
 
Desarrollo de apps móviles con Apache Cordova
Desarrollo de apps móviles con Apache CordovaDesarrollo de apps móviles con Apache Cordova
Desarrollo de apps móviles con Apache Cordova
Software Guru
 
Soft libre-desarrolladores-infosoft
Soft libre-desarrolladores-infosoftSoft libre-desarrolladores-infosoft
Soft libre-desarrolladores-infosoft
Michela Mosquera
 

Ähnlich wie Skipfish (20)

Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
 
Desarrollo rápido de apps web con laravel - DevAcademy
Desarrollo rápido de apps web con laravel - DevAcademyDesarrollo rápido de apps web con laravel - DevAcademy
Desarrollo rápido de apps web con laravel - DevAcademy
 
Si tu aplicación no responde rápido pierdes clientes
Si tu aplicación no responde rápido pierdes clientesSi tu aplicación no responde rápido pierdes clientes
Si tu aplicación no responde rápido pierdes clientes
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scanner
 
1. Arquitecturas y Herramientas de Programación
1. Arquitecturas y Herramientas de Programación1. Arquitecturas y Herramientas de Programación
1. Arquitecturas y Herramientas de Programación
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scanner
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scanner
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scanner
 
03 de Marzo 2015: Andrés Villarreal - Herramientas del Desarrollador Moderno
03 de Marzo 2015: Andrés Villarreal - Herramientas del Desarrollador Moderno03 de Marzo 2015: Andrés Villarreal - Herramientas del Desarrollador Moderno
03 de Marzo 2015: Andrés Villarreal - Herramientas del Desarrollador Moderno
 
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
 
Cómo volarle la peluca a tus usuarios con la velocidad de tu sitio?
Cómo volarle la peluca a tus usuarios con la velocidad de tu sitio?Cómo volarle la peluca a tus usuarios con la velocidad de tu sitio?
Cómo volarle la peluca a tus usuarios con la velocidad de tu sitio?
 
Gwt seminario java_hispano_manolocarrasco
Gwt seminario java_hispano_manolocarrascoGwt seminario java_hispano_manolocarrasco
Gwt seminario java_hispano_manolocarrasco
 
PHP Conference Argentina 2014
PHP Conference Argentina 2014PHP Conference Argentina 2014
PHP Conference Argentina 2014
 
Escaner de vulnerabilidades - Skipfish
Escaner de vulnerabilidades - SkipfishEscaner de vulnerabilidades - Skipfish
Escaner de vulnerabilidades - Skipfish
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
 
Desarrollo de apps móviles con Apache Cordova
Desarrollo de apps móviles con Apache CordovaDesarrollo de apps móviles con Apache Cordova
Desarrollo de apps móviles con Apache Cordova
 
Soft libre-desarrolladores-infosoft
Soft libre-desarrolladores-infosoftSoft libre-desarrolladores-infosoft
Soft libre-desarrolladores-infosoft
 
Herramientas para desarrollar rápidamente
Herramientas para desarrollar rápidamenteHerramientas para desarrollar rápidamente
Herramientas para desarrollar rápidamente
 
PresentacióN3
PresentacióN3PresentacióN3
PresentacióN3
 
Pres3
Pres3Pres3
Pres3
 

Mehr von Mauro Parra-Miranda

Mehr von Mauro Parra-Miranda (20)

Configuraciones inseguras
Configuraciones insegurasConfiguraciones inseguras
Configuraciones inseguras
 
Cloudevel - Microsoft Azure - 101
Cloudevel - Microsoft Azure - 101Cloudevel - Microsoft Azure - 101
Cloudevel - Microsoft Azure - 101
 
¿Cómo crear un dream team de ciberseguridad?
¿Cómo crear un dream team de ciberseguridad?¿Cómo crear un dream team de ciberseguridad?
¿Cómo crear un dream team de ciberseguridad?
 
Startuplie - un ejercicio de sinceridad en español
Startuplie - un ejercicio de sinceridad en españolStartuplie - un ejercicio de sinceridad en español
Startuplie - un ejercicio de sinceridad en español
 
Usando azure para escalar tu producto
Usando azure para escalar tu productoUsando azure para escalar tu producto
Usando azure para escalar tu producto
 
AWS Summit Mexico City 2018 - Usando Elastic Beanstalk
AWS Summit Mexico City 2018 - Usando Elastic BeanstalkAWS Summit Mexico City 2018 - Usando Elastic Beanstalk
AWS Summit Mexico City 2018 - Usando Elastic Beanstalk
 
Fractura Sismo
Fractura SismoFractura Sismo
Fractura Sismo
 
Del startup al negocio, the missing manual
Del startup al negocio, the missing manualDel startup al negocio, the missing manual
Del startup al negocio, the missing manual
 
Frameworks iOS
Frameworks iOSFrameworks iOS
Frameworks iOS
 
Desarrollando Apps móviles con Titanium Studio
Desarrollando Apps móviles con Titanium StudioDesarrollando Apps móviles con Titanium Studio
Desarrollando Apps móviles con Titanium Studio
 
Desarrollando Apps móviles con Titanium Studio
Desarrollando Apps móviles con Titanium StudioDesarrollando Apps móviles con Titanium Studio
Desarrollando Apps móviles con Titanium Studio
 
Moviles
MovilesMoviles
Moviles
 
open build service
open build service open build service
open build service
 
El proyecto openSUSE
El proyecto openSUSEEl proyecto openSUSE
El proyecto openSUSE
 
Software Libre
Software LibreSoftware Libre
Software Libre
 
Planeando sitios corporativos
Planeando sitios corporativosPlaneando sitios corporativos
Planeando sitios corporativos
 
SUSE Studio 1.0 Bugcon09
SUSE Studio 1.0 Bugcon09 SUSE Studio 1.0 Bugcon09
SUSE Studio 1.0 Bugcon09
 
Gnome - un vistazo a su arquitectura
Gnome - un vistazo a su arquitecturaGnome - un vistazo a su arquitectura
Gnome - un vistazo a su arquitectura
 
Open Build Service
Open Build ServiceOpen Build Service
Open Build Service
 
SUSE Studio
SUSE StudioSUSE Studio
SUSE Studio
 

Kürzlich hochgeladen

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Kürzlich hochgeladen (11)

investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 

Skipfish

  • 2. ¿Qué es Skipfish? ● Un sistema automático para escanear vulnerabilidades en sitios web. ● Es rápido: Puede hacer 500+ requests por segundo a sitios web, 2000+ en sitios dentro de tu lan/wan y 7000+ requests en máquinas locales. ● Fácil de usar: usa heuristicas para reconocer patterns que uno pueda atacar, genera diccionarios automáticos – aprende--, analisis probabilistico para pegarle en varios lados en sitios complejos. ● Analisis varios de seguridad.
  • 3. Más detalles... ● Skipfish aplica diversas heuristicas para poder identificar problemas comunes como: ● SQL Injection ● XML/XPath injection ● HTTP PUT ● Sintaxis sql en post/get. ● Integer overflow ● Problemas de MIME-charset ● Directivas incorrectas de cache ● Cross-site scripting XSS
  • 4. Etica ● Skipfish es una herramienta de gran poder. ● Con un gran poder, viene una gran responsabilidad: usa skipfish unicamente para tus propios sitios web para hacer analisis de seguridad. ● Ten cuidado en no aplicar eso en un servidor de producción, podría literalmente tirarlo. ● De nuevo: solo usa esta herramienta en tus propios sitios
  • 5. Para probarlo... ● Baja el último código desde: http://code.google.com/p/skipfish ● Desempaqueta: ● tar xzvf skipfish-1.55b.tgz ● cd skipfish-1.55b ● Make ● Listo!
  • 6. Ejecutando el programa ● Para correr el programa: ./skipfish -o output http://www.example.com ● Y a esperar. ● Veamos una prueba...
  • 7. Simulación de DOS ● Aparte de funcionar para ver los posibles hoyos de seguridad de tu app, tambien te ayuda a simular un ataque de DOS en tu app; para que veas como reaccionaria y que estrategía pudieras tomar. ● Yo revise un servidor (de producción) y... se cayo! YAY! Gran sabado. #NOT ● Repito, no lo hagan en casa sin la supervisión de un adulto ;)
  • 8. Recomendaciones ● Es importante que en cualquier sitio web que creen, revisen al menos con una herramienta como esta la seguridad de su sitio: tal vez apuntara a cosas obvias que podrian ser facilmente arreglables. ● Compartan estas ideas básicas con sus colegas desarrolladores: ellos lo agradeceran. Especialmente si se trata de un sitio bastante expuesto.
  • 9. Ligas ● Skipfish - http://code.google.com/p/skipfish ● Docs skipfish - http://code.google.com/p/skipfish/wiki/SkipfishDoc ● Presentación - http://www.slideshare.net/mauropm ● Preguntas o comentarios - mauropm@gmail.com