Google lanza escáneador de vulnerabilidades para aplicaciones web

Google ha cedido al dominio público su propia herramienta interna de seguridad Skipfish, que permite detectar vulnerabilidades en aplicaciones web.

Diario Ti: Anteriormente, Google ha publicado programas y herramientas gratuitas que mejoran la seguridad en Internet. Ahora ha llegado el turno de asegurar las aplicaciones web.

Skipfish es compatible con Linux, Mac y Windows y puede ser descargada desde el sitio de Google code.

Skipfish es una herramienta que puede ser usada para detectar agujeros de seguridad en aplicaciones web. El programa escanea las aplicaciones en búsquedas de errores de programación y vulnerabilidades, como por ejemplo en SQL y XML-injection. Skipfish bombardea las aplicaciones con 2.000 llamadas http por segundo. Internamente, Google ha alcanzado las 7.000 llamadas por segundo.

Con todo, Michal Zalewski, programador de Google, recomienda no considerar a Skipfish como una cura milagrosa. Al respecto, explica que en algunos casos no es la herramienta más adecuada, ya que puede tener ciertas carencias. A modo de ejemplo menciona que no revisa errores de desbordamiento de buffer ni errores atribuibles a programas de terceros.

Más información en el blog de seguridad de Google.

Cabe señalar que existen otras soluciones similares, como Nikto2 y Nessus.