Securisez votre serveur web avec Skipfish

skipfish2Si vous avez mis en ligne un site web et que vous l’administrez, vous avez été ou vous allez être confronté tôt ou tard à la problématique de sa sécurisation. Pour ce faire, il est important d’identifier clairement les failles qui peuvent toucher votre site et de prévenir toute fuite d’information qui pourrait renseigner sur le pirate sur votre site.
Google a mis à disposition un outil de leur conception qui permet de scanner à distance les URLs disponibles sur un site Web. Par l’intermédiaire de mots clés fournis dans des dictionnaires, cet outil scanne les adresses URLs valides, même si elles ne sont pas directement accessibles par un lien hypertexte explicite.

Récupération des packages

SkipFish n’étant pas disponible sous formes de binaires, il est nécessaire de récupérer les sources du logiciel et des les compiler sur votre machine cliente pour pouvoir ensuite tester à distance votre serveur.
SkipFish repose sur la bibliothèque libidn qu’il faut installer avant de compiler SkipFish. Il est donc nécessaire de récupérer ces deux paquets (les versions sont celles utilisées à la date de rédaction de l’article)
les dernières versions sont accessibles sur :

Installation de SkipFish

Décompresser les fichiers au moyen des commandes suivantes
tar xvzf libidn-1.18.tar.gz
tar xvzf skipfish-1.84b.tgz

Installation de libidn

cd libidn-1.18/
./configure
make
sudo make install

Installation de skipfish sur Linux ou Windows

cd ../skipfish-1.84b/
make

Installation de skipfish Sur Mac

cd ../skipfish-1.84b/
Il est nécessaire de faire une petite modification pour que le programme puisse fonctionner correctement.
A la ligne 718 du fichier report.c
remplacer :
static int copy_asset(const struct dirent* d) {
par
static int copy_asset(struct dirent* d) {
Compiler ensuite le logiciel skipfish avec la commande
CC=/usr/bin/gcc make

Analyse de votre serveur

Le logiciel est maintenant prêt à être utilisé.
Pour le lancer il est nécessaire de lui préciser quel dictionnaire utiliser. (Le dictionnaire minimal est à recommander). Le dictionnaire est enrichi au fur et à mesure des URLs découvertes.
./skipfish -W dictionaries/minimal.wl -o test http://la_machine_cible

Bien évidemment, inutile de vous rappeler que ce logiciel doit être utilisé uniquement contre votre propre site web


Selon le dictionnaire utilisé et la bande passante disponible, le test peut prendre un peu de temps, en général quelques minutes.

Une fois le scan terminé, vous devriez avoir un répertoire qui portera le nom spécifié dans la commande avec l’option -o (test dans cet exemple).

Dans ce répertoire se trouve un fichier index.html que vous pouvez ouvrir avec un navigateur web pour obtenir les résultats du scan.

Vous voilà maintenant prêt à éviter les fuites d’informations sur votre serveur web, que pourrait engendrer un répertoire laissé accessible par oubli. A vous de sécuriser ces accès au mieux par la création d’un .htaccess par exemple, ou en configurant votre serveur web de manière appropriée.

3 thoughts on “Securisez votre serveur web avec Skipfish”

  1. Merci pour cet excellent article.
    Je galerais pour m’installer sur un Mac. Merci pour l’astuce

    Rob

  2. Merci pour l’article. Petit ajout : à utiliser sur ses serveurs, mais aussi sur les serveurs des autres, du moment que c’est dans le cadre d’un pentest contractualisé.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *