Разработчики из компании Google представили (http://googleonlinesecurity.blogspot.com/2010/03/meet-skipfi...) новый открытый проект Skipfish (http://code.google.com/p/skipfish/), представляющий собой систему для тестирования безопасности web-приложений и выступающий в роли аналога таким инструментам, как Nikto (http://cirt.net/nikto2) и Nessus (http://www.nessus.org/nessus/). Skipfish относится к активным инструментам проверки: на первом шаге осуществляется создание карты сайта и словаря, после чего выполняется набор проверок всех форм и параметров.
Особенности (http://code.google.com/p/skipfish/wiki/SkipfishDoc) Skipfish:
- Высокая производительность: код написан на языке Си и оптимизирован для обработки HTTP-запросов с минимальной нагрузкой на CPU. На обычном оборудовании Skipfish способен обеспечить 2-7 тыс. проверок в секунду при тестировании web-приложений в локальной сети. Поддерживаются расширенные возможности HTTP/1.1, такие как range-запросы...URL: http://googleonlinesecurity.blogspot.com/2010/03/meet-skipfi...
Новость: http://www.opennet.me/opennews/art.shtml?num=25903
Посмотрел в код - жесть.
Там юзается poll. Всё прогрессивное человечество пользует libev.
про ratproxy неправда, скачайте и увидите бинарный блоб с мелкой обёрткой.
Я так понял, там бинарик flare - это swf-декомпилятор.
Собрал, натравил на один простенький сайт.
Вот уже 400 тыщ запросов прогнал, конца и края не видно.
Да, а капчу оно распознает? Или так и будет долбиться в закрытые двери.
А что капчей нынче можно защититься от инекций, инклудов и xss?
Нет, но проверку сайт пройдёт как надёжный. Это то и плохо.