Google ha dettato il passaggio dal software al servizio, portando online le responsabilità di elaborazione e trasferendo fuori dal computer quelli che prima erano i programmi che l’utente sceglieva per la propria macchina. Nel momento in cui il software si fa servizio, trasferendosi dal client al server, a spostarsi sono però anche i difetti che il codice potrebbe avere al proprio interno. Per questo motivo Google intende intervenire anche a questo livello, certificando la sicurezza delle applicazioni e portando il proprio nome ad intervenire anche in questa nuova frontiera.
Allo scopo, Google ha distribuito la prima versione 1.10 beta di Skipfish, ciò che Google Code descrive come un «active web application security reconnaissance tool». L’obiettivo è quello di offrire un controllo per le applicazioni online, così da predisporre uno scanning in grado di rivelare eventuali vulnerabilità aumentando di conseguenza il grado di consapevolezza relativo alla sicurezza delle nuove applicazioni che prendono forma sul Web.
Skipfish 1.10 beta è distribuito con licenza Apache 2.0 ed è pensato per Linux, FreeBSD 7.0+, MacOS X e Windows. con tre caratteristiche rimarcate fin dalla prima ora:
- Alta velocità: puro codice C per supportare 2000 richieste al secondo;
- Facilità d’uso, capacità automatiche di apprendimento, wordlist on-the-fly e form ad autocompletamento;
- Alta qualità, basso numero di falsi positivi
Ogni approfondimento è riportato sull’apposito Wiki, ove sono elencate anche le vulnerabilità già monitorabili. Tra queste si elencano in modo particolare quelle di maggior criticità:
- Server-side SQL injection
- Explicit SQL-like syntax in GET or POST parameters
- Server-side shell command injection
- Server-side XML / XPath injection
- Format string vulnerabilities
- Integer overflow vulnerabilities
Con un consiglio finale: «Usa Skipfish soltanto contro i servizi di tua proprietà, o dei quali si hanno i permessi per il test». Il tool, insomma, non deve diventare una leva per la scoperta, l’attacco o l’uso strumentale di falle altrui: lo scopo è soltanto quello di aumentare la consapevolezza della programmazione effettuata ed il grado di sicurezza offerto agli utenti.