skipfish是Google的工程师MIchal Zalewski开发的另一款网站安全检测工具,它完全实现了全自动化操作,所以不需要人工干预,这一点上比RatProxy要好用一些,当然在功能上也强大更多了。
可以从http://code.google.com/p/skipfish/下载它。
安装Cygwin
与ratproxy一样,在windows下需要安装cygwin才能编译它。
下载Cygwin(http://www.cygwin.com/),一路默认下一步直到选择下载站点,考虑到国外的源速度比较慢,所以选择从ntu.edu.tw(速度还是不错的)下载;然后下一步Select Packages,找到以下几个包,并安装它们:
gcc
make
libidn-devel
zlib-devel
openssl-devel
继续下一步直至安装完成。
生成skipfish
1、下载skipfish
2、运行cygwin.bat,并切换到skipfish所在目录(cd “c:skipfish”)
3、运行make,等它编译完成
使用skipfish
在命令行输入以下命令:
skipfish –o log –W “dictionaries/complete.wl” http://lwme.cnblogs.com
-o参数是输出目录,-W是选择字典,然后就等着它扫描完看报告吧。
使用它的默认参数扫描起来是相当慢的,所以如果有需要的话,可以通过-h参数或者它的在线文档:http://code.google.com/p/skipfish/wiki/SkipfishDoc去研究它。
最新内容请见作者的GitHub页:http://qaseven.github.io/
