一:简介
skipfish是什么?
Skipfish是一个积极的Web应用程序的安全性侦察工具。 它准备了一个互动为目标的网站的站点地图进行一个递归爬网和基于字典的探头。 然后,将得到的地图是带注释的与许多活性(但希望非破坏性的)安全检查的输出。 最终报告工具生成的是,作为一个专业的网络应用程序安全评估的基础。
二:部署安装
2.1:部署环境
[root@cn-ptmind skipfish-read-only]# uname -a
Linux cn-ptmind 2.6.32-220.el6.x86_64 #1 SMP Tue Dec 6 19:48:22 GMT 2011 x86_64 x86_64 x86_64 GNU/Linux
[root@cn-ptmind skipfish-read-only]# more /etc/redhat-release
CentOS release 6.2 (Final)
2.2:安装skipfish依赖包:
yum -y install gcc gcc-c++ autoconf libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libxml2 libxml2-devel zlib zlib-devel glibc glibc-devel glib2 glib2-devel bzip2 bzip2-devel zip unzip ncurses ncurses-devel curl curl-devel e2fsprogs e2fsprogs-devel krb5-devel libidn libidn-devel openssl openssh openssl-devel nss_ldap openldap openldap-devel openldap-clients openldap-servers libxslt-devel libevent-devel ntp libtool-ltdl bison libtool vim-enhanced python wget lsof iptraf strace lrzsz kernel-devel kernel-headers pam-devel Tcl/Tk cmake ncurses-devel bison setuptool popt-devel rsynx openssh system-config-network-tui svn
2.3:下载skipfish
svn checkout http://skipfish.googlecode.com/svn/trunk/ skipfish-read-only
#进入目录
cd skipfish-read-only
#执行make 编译,生成skipfish 命令。
make
三:网站扫面实例;
./skipfish -o ptengine http://www.ptengine.com
# -o 选项制定生成扫描报告文件夹
#将报告文件夹进行打包
tar -cvf ptengine.tar ptengine
#将压缩包下载到本地
sz -bey ptengine.tar
扫描报告下载到本地PC后并解压,打开文件夹,找到index.html文件,用浏览器打开,即可查看扫描报告。
