Selon le site spécialisé The H Security, skipfish offre des fonctionnalités similaires à celles proposées par des outils comme Nmap et Nessus, mais joue sur la rapidité d'exécution. En plus d'un faible taux de faux positifs, c'est justement ce sur quoi Google met l'accent en annonçant un outil entièrement écrit en C et capable d'effectuer 2 000 requêtes HTTP par seconde grâce à l'intégration d'une pile HTTP personnalisée ( 7 000 requêtes par seconde ont été effectuées à travers un réseau local ).
skipfish permet de détecter du code vulnérable aux attaques de type cross-site scripting ( XSS ), injection SQL, XML, et autres dont la liste est détaillée ici. skipfish n'est toutefois pas présenté comme une " solution miracle ". Il ne satisfait pas aux critères du WASC ( Web Application Security Scanner Evaluation Criteria ), et ne vérifie pas si les applications sont vulnérables par rapport à une base de données de vulnérabilités connues. On notera aussi que les vérifications ne concernent pas le contenu basé sur des plugins : Flash, Java, PDF...
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.