Googleの脆弱性Scanner

http://code.google.com/p/skipfish/
http://japan.cnet.com/news/sec/story/0,2000056024,20410794,00.htm

Web Application Security Scanner Evaluation Criteria を満たしていないとあるが

http://projects.webappsec.org/Web-Application-Security-Scanner-Evaluation-Criteria

まあ、使ってない機能もありそうなので、いいのか？

W3AFと比べてどうかな？

Ubuntu

libidn11 libidn11-dev libssl-dev

make debug

Consoleの背景を黒にしておく（笑）

./skipfish -o output001 http://localhost:3000

認証が必要な場合は

curl -c cookie.txt -d "key=root&password=password" http://localhost:3000/platform

とか、CURLを使ってCookie取得

./skipfish -C hoge=hogevalue -X logout -o output002 http://localhost:3000

• OSX

brew install skipfish

• more info

Common problems with skipfish (and how to fix them)
http://code.google.com/p/skipfish/wiki/KnownIssues

Understanding and using skipfish
http://lcamtuf.blogspot.jp/2010/11/understanding-and-using-skipfish.html