初试开源skipfish

1.安装

根据网友“小米啊”提供的安装过程，这里转载一下内容：

a.zlib
wget http：//zlib.net/zlib-1.2.4.tar.gz
tar -zxvf zlib-1.2.4.tar.gz
cd zlib-1.2.4
./configure
make &sudo make intall

b.OpenSSL

wget http：//www.openssl.org/source/openssl-0.9.8n.tar.gz
tar -zxvf openssl-0.9.8n.tar.gz
cd openssl-0.9.8n
./config
make
sudo make install

c.libidn

wget http：//ftp.gnu.org/gnu/libidn/libidn-1.8.tar.gz
tar -zxvf libidn-1.8
cd libidn-1.8
./configure
make
sudo make install

编译skipfish

wget http：//skipfish.googlecode.com/files/skipfish-1.26b.tgz
tar -zxvf skipfish-1.26b.tgz
cd skipfish-1.26b
make all

skipfish文件下的大致内容：

     其中：dictionaries 里是策略模板，有完全的，默认的，小型的等

     log，logs文件是扫描时命令生成的存放扫描结果的文件夹

2.源代码

     实在没有语言基础看源代码，没有能力学习到里面的工具原理，很后悔很后悔

     查看了下analysis.c里面的代码内容，看到几行：

         这段可能是判断",<>符号是否被转义的内容

              这段可能是过滤关键字内容的判断或插入吧，不懂不懂

3.扫描

  ./skipfish -o log http：//192.168.1.177：8080

  执行skipfish，log是存放结构的目录，自动生成的

  但是如果是扫描需要登录的应用服务，怎么执行？

4.结果

  在log目录下，可以查看结果：

  这个结果也看得一头雾水。

5.对比

  速度比appscan快，但是结果和内容还是appscan好用

  尤其是appscan的结果里一些测试很直观，介绍内容也详细很多

  但是对于那种多层内嵌的应用或页面的检测好像都没有检测到，而且appscan也都是从URL出发的，很多文本框的xss都扫不出来。

希望 有学习 里面 源代码 原理 的兄弟，多分享下原理。