Sebelumnya saya pernah membahas bagaimana caranya untuk melakukan audit sederhana untuk security suatu website dengan nikto disini.
Saat ini saya akan membahas kembali bagaimana caranya untuk melakukan audit security website dengan Linux Ubuntu menggunakan tools "Skipfish"
Skipfish merupakan program yang dapat berjalan di linux dan dibuat oleh google untuk melakukan mencari Website Vulnerability. Fungsinya mirip dengan nessus. Beberapa feature kelebihan dari skipfish ini adalah :
- High speed: written in pure C, with highly optimized HTTP handling and a minimal CPU footprint, the tool easily achieves 2000 requests per second with responsive targets.
- Ease of use: the tool features heuristics to support a variety of quirky web frameworks and mixed-technology sites, with automatic learning capabilities, on-the-fly wordlist creation, and form autocompletion.
- Cutting-edge security logic: we incorporated high quality, low false positive, differential security checks capable of spotting a range of subtle flaws, including blind injection vectors.
Untuk pengguna ubuntu dapat langsung di install dari repository :
$ sudo apt-get install skipfish
bagi pengguna linux lain, skipfish ini dapat di download dari link berikut : http://code.google.com/p/skipfish/downloads/list
Setelah selesai melakukan instalasi, tinggal dijalankan saya programnya. Untuk menjalankannya berikut perintahnya :
$ skipfish -u -o /home/dony/hasil_skipfish http://localhost
skipfish version 1.85b by
[*] Scan in progress, please stay tuned...
[+] Wordlist '/usr/share/skipfish/dictionaries/minimal.wl' updated (193 new words added).
[+] Copying static resources...
[+] Sorting and annotating crawl nodes: 917
[+] Looking for duplicate entries: 917
[+] Counting unique nodes: 554
[+] Writing scan description...
[+] Writing crawl tree: 917
[+] Generating summary views...
[+] Report saved to '/home/dony/hasil_skipfish/index.html' [0x7fcffb9e].
[+] This was a great day for science!
Skipfish Website Vulnerability Scanner
http://code.google.com/p/skipfish/downloads/list
Nb. harap bersabar hingga proses scan yang dilakukan skipfish selesai seperti diatas, karena skipfish ini lumayan lama dalam melakukan scanning. Pengalaman saya sekitar 2jam, tetapi tergantung dari banyaknya content yang ada di website target.
==============
Sebagai keterangan dari perintah diatas adalah :
# skipfish -u -o /home/dony/hasil_skipfish http://localhost
- /home/dony/hasil_skipfish : tempat output atau hasil dari scan yang dilakukan skipfish
- http://localhost : adalah website target yang akan di lakukan pengecekan vulnerability nya
Untuk hasilnya nanti akan ada di folder diatas, dan berupa file html (index.html), file tersebut tinggal dibuka saja di web browser untuk melihat hasilnya.
Untuk tingkatan vulnerability dapat terlihat dari warnanya (merah berarti high, orange berarti medium, dan seterusnya)
Beberapa ringkasan juga dapat dilihat seperti pada gambar diatas.
Menurut saya hasil dari scan dengan menggunakan skipfish ini cukup lengkap dan mirip dengan nessus dimana kita dapat langsung mengeluarkan hasilnya. Dengan hasil audit dari skipfish ini maka kita diharapkan dapat mengentahui celah-celah security dari website kita, sehingga kita dapat memperbaikinya agar lebih secure.
Artikel ini saya tulis untuk referensi pribadi saya dan mudah-mudahan bermanfaat juga untuk teman pembaca semua.
Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171
