本文關鍵詞：江蘇省計算機信息處理技術重點實驗室基金，由筆耕文化傳播整理發(fā)布。

skipfish相關介紹

doi：10.3969/j.issn.1671-1122.2011.10.013

Google Web

安全檢測工具研究

張偉1，劉文慶1，陳星亦2

（1.南京郵電大學計算機學院，江蘇南京 210003；

2.南京郵電大學通信與信息工程學院，江蘇南京 210003）

Skipfish是Google 2010年推出的一款開源Web安全檢測工具，與Nikto和Nessus等工具相比，摘　要：

skipfish使用遞歸抓取和基于字典的探針技術生成交互式目標網(wǎng)站地圖，在性能上采用單線程復用技術、自定義的http堆棧和啟發(fā)式行為分析等技術減少了網(wǎng)絡探測流量，使其具有顯著的速度優(yōu)勢。文章針對其源碼，重點分析了其使用主要的數(shù)據(jù)結構、執(zhí)行流程、多I/O異步機制和字典的使用，對于理解Skipfish軟件架構和關鍵技術并以此為基礎進行應用擴展和優(yōu)化提供了有力的幫助。

Google；Skipfish；Web安全；源碼分析關鍵詞：

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-1122（2011）10-0034-04

Google Web Security Testing Tools-Skip sh Source Code Analysis

ZHANG Wei1, LIU Wen-qing1, CHEN Xing-yi2

( 1.College of Computer, Nanjing University of Posts & Telecommunications, Nanjing Jiangsu 210003, China;

2. College of Telecommunications & Information Engineering, Nanjing University of Posts & Telecommunications,

Nanjing Jiangsu 210003, China )

Abstract: Skip sh is an open source web security testing tool launched by Google in 2010. Compared with similar tools such as Nikto and Nessus, Skipfish uses recursive crawl and dictionary-based probe technology to generate an interactive map of the target site. The use of multiplexing single-thread, customized http stack, heuristic behavior analysis and other technologies in performance has reduced the network traf c, and gives Skip sh a signi cant speed advantage. In this paper, skip sh’s source code is analyzed, focusing on its major data structures, the implementation process, multiple I/O asynchronous mechanism and the use of dictionaries. The work is helpful to understand skip sh’s software architecture and key technology, and use it as a basis for a special expansion and optimization.

Key words: Google; Skip sh; Web security; source code analysis

0 背景

據(jù)Internet World Stats統(tǒng)計，2011年全球共有19.7億互聯(lián)網(wǎng)用戶[1]。每年網(wǎng)站遭黑客攻擊的事件不斷增加，攻擊造成網(wǎng)站癱瘓、用戶信息泄露等諸多問題，給公司和用戶造成巨大的損失[2，3]。僅從今年的4月開始到現(xiàn)在，索尼、花旗、Google等幾家大的公司遭到嚴重的攻擊并且損失嚴重。索尼公司在今年的4月到6月期間先后遭黑客攻擊不下10次，損失慘重并遭到來自媒體、用戶和立法者的責難；6月9日，美國花旗公司20萬個賬戶被盜，只得花費200萬美元為用戶提供新的信用卡[4]。由上述事件可見，網(wǎng)絡安全與公司的信譽及利益息息相關，為了保證網(wǎng)絡的安全，面對不斷增加的攻擊手段，一款高性能的網(wǎng)絡安全檢測工具對于Web站點的安全就顯得尤為重要。

Skipfish是由Google于2010年推出的一款網(wǎng)絡應用安全檢測工具，，可在Linux，F(xiàn)reeBSD，MacOS X和Windows（Cygwin）環(huán)境下運行，Skipfish最主要的特點是高速。Skipfish使用了單線程復用技術，完全的異步I/O和數(shù)據(jù)處理模塊解決了內存管理、調度和多線程方式中的線程間通信開銷問題；支持高級HTTP/1.1的范圍查詢、內容壓縮和活動鏈接保持等特性，減少了網(wǎng)絡層的流量負擔；智能化緩存和啟發(fā)式服務器行為檢測也最大程度減少了不必要的流量；Skipfish基于面向性能的設計，全部使用C語言編寫，并設計使用自定義的http堆棧。在這些技術的支持下，使用普通性能的CPU，它輕易便可在遠程掃描中向相應目標每

收稿時間：2011-09-09

基金項目：國家博士后基金（20090451241）、江蘇省計算機信息處理技術重點實驗室基金（2010）作者簡介：張偉（1973-），男，江蘇，副教授，博士，主要研究方向：計算機病毒檢測和網(wǎng)絡流量分析；劉文慶（1988-），女，山東，碩士研究生，主要研究方向：物聯(lián)網(wǎng)安全；陳星亦（1989-），男，江蘇，本科，主要研究方向：入侵檢測。

  本文關鍵詞：江蘇省計算機信息處理技術重點實驗室基金，由筆耕文化傳播整理發(fā)布。