Conçu par Michal Zalewski, un ingénieur de Google, Skipfish est un scanner de sécurité disponible en version bêta sous licence Apache 2.0.

Cet outil se destine aux développeurs de sites et d'applications Web, ainsi qu'aux professionnels de la sécurité informatique. Skipfish automatise les tâches d'audit de code et de détection des failles applicatives (un thème cher à l'OWASP).

Sur son site, Google présente Skipfish comme un logiciel développé intégralement en C et optimisé pour le protocole HTTP. Michal Zalewski met en avant les performances de son scanner, capable d'effectuer 2000 requêtes par seconde (500 requêtes seconde pour l'audit d'un serveur Web distant et jusqu'à 7000 en local).

Cette vitesse est associée à un faible taux de faux positif (qui reste à vérifier). Cette faiblesse récurrente des scanners de sécurité serait corrigée grâce à un changement d'approche : les résultats ne se basent pas sur une liste de vulnérabilités identifiées.

SecuObs précise que Skipfish permet d'automatiser la détection de vulnérabilités critiques comme les injections SQL, commandes Shell, XPATH, les dépassements d'entiers, ainsi que les failles de types XSS et Directory Traversal.

Skipfish est compatible avec les systèmes Linux, FreeBSD, Mac OS X et les environnements Windows Cygwin.

http://www.zdnet.fr/actualites/internet/0,39020774,39750311,00.htm#xtor=RSS-1