Google製のActive Webアプリケーションスキャナ。コマンドラインのスキャナだが、自動的にクロールしてSQLインジェクションやXSSを検知できるそうだ。Cで書かれているから高速だとか、使い方が簡単とかの特徴がある。 手元のCentOSでコンパイルしてみたところ、それほど手間がかからずバイナリができた。*1 試しに以下のようなオプションを付けて、DVWAに対してスキャンしてみた。 ./skipfish -o dvwa -W dictionaries/default.wl http://192.168.xx.xx/dvwa/ そうすると、ものすごい早さでクロールとスキャンが走りだしコンソールはこんな感じに。 スキャンが終わるとレポートが出力されるので、ブラウザで表示すると以下の3種類の見方で結果が表示される。 Crawl results Document type overview
![skipfish - SecuDiary](https://cdn-ak-scissors.b.st-hatena.com/image/square/512a64dd57d3a3df0698e0c391d8e733797b1a74/height=288;version=1;width=512/http%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fh%2Fhiro-t%2F20100323%2F20100323173708.jpg)