• Tweet

La versión mejorada del escaner de vulnerabilidades web de Google, SkipFish, ha recibido excelentes críticas de los expertos de seguridad.

La herramienta gratuita diseñada por el ingeniero de software de Google Michal Zaleswski, y lanzada la semana pasada, realiza un escaneo para encontrar vulnerabilidades en las aplicaciones web.

En pruebas de penetración de la firma HackLabs, su director Chris Gatford afirmó que la herramienta es “extraordinariamente rápida” y precisa.

El renovado SkipFish superó a otras marcas comerciales así como gratuitas durante las pruebas en Hacklabs. Gatford mencionó que algunos escaners sobre las aplicaciones web regresaron una petición HTTP a una tasa de apróximandamente de uno a dos segundos.

“SkipFish disparó más de 400 peticiones por segundo, lo cual es menos en condiciones ideales”, sobre una conexión de banda ancha estándar y utilizando sus características por defecto”, dijó Gaftford, agregando que ha devuelto algunos errores.

Security blogger y jhaddix consultor de RedSpin comentó que la aplicación regreso 600 peticiones por segundo sobre una conexión de 10Mb, sin embargo reportó algunos problemas.

La tasa de masivas peticiones significa que la herramienta también puede ser utilizada para ataques de negación de servicio. Un ataque de este tipo requeriría menos recursos de cómputo – apróximandamente 20 servidores de acuerdo a estimaciones – para causar problemas a los sitios de corporaciones.

Los usuarios maliciosos podrían emplear esta herramienta para descurbrir vulnerabilidades en las aplicaciones para ser explotadas, a pesar de que esa posibilidad esta disponible a través de muchas herramientas que ya existen.

Gatford dijo que SkipFish es un “movimiento inteligente” de Google, ya que representa un esfuerzo para incrementar la seguridad en línea, una sugerencia compartida por el analista de seguridad James Turner de IBRS.

Zalewski se ha apresurado a realizar cambios tan pronto como los testers lo reporten. Él reparó seis banderas descubiertas por Gatford pocas horas despúes de su publicación en Twitter.

SkipFish está dirigido a personas que no suelen probar las aplicaciones web, aún asi los expertos en seguridad dicen que un poco de conocimiento o investigación es requisito para encontrar soluciones de vulnerabilidades que Zalewski ha planeado, sin embargo aún no se ha incorporado a la herramienta.