Um pessoal do Google lançou uma ferramenta open source para análise de vulnerabilidades em sites, útil para administradores de sistemas e webmasters avançados.
O Skipfish, nome do programa, pode ser comparado com ferramentes conhecidas, incluindo Nmap e o Nessus. Mas segundo divulgado ele pretende ser mais rápido. Escrito em C “puro” pode processar cerca de 2 mil requisições HTTP por segundo (claro, num servidor que suporte tal carga), e alguns testes indicaram sucesso mesmo com mais de 7 mil requisições, com consumo de recursos da CPU e memória não tão alto.
Ele pode identificar diversas brechas, incluindo vulnerabilidades para ataques cross-site scripting (XSS), SQL e XML injection, entre outros. O relatório gerado pode ser analisado sem muita dificuldade para quem entende um pouco da área.
Ele deve rodar em Linux, FreeBSD, Mac OS X e Windows (por meio do Cygwin), e está hospedado no Google Code:
https://code.google.com/p/skipfish/
O programa ainda é beta, mas funciona bem pelo que parece. A licença utilizada é a conhecida Apache 2.0.
Veja mais no anúncio no blog de segurança online do Google.
