好易阁-品味互联网人生

Google开发者Michal Zalewski在Skipfish wiki表示，这项工具可扫瞄网络应用程序是否含有一些难以处理的状况，如Blind SQL插入式攻击，或XML远端程序注入等瑕疵。Skipfish根据目录调查目标网站，并在递回爬取(recursive crawl)后产生一份具备互动crawl结果注释的网站图。该工具也能产生一份最终报告，作为软件安全评估的根据。

Zalewski表示，目前还有若干商业和开源的扫瞄工具，包括Nikto和Nessus，他建议用户选用适合自己的工具。不过，Skipfish速度很快，依据被测试的服务器性能，针对互联网目标每秒处理500次以上请求，针对LANs每秒处理2,000次以上请求。
Zalewski提醒，Skipfish无法抓出所有问题。该工具刻意不满足应用程序安全联盟之安全扫瞄评估准则(Wasc Web Application Security Scanner Evaluation Criteria)列出的所有要求。此外，Skipfish没有附带已知漏洞的延伸数据库。
Google请大家以负责的态度使用这项工具。Zalewski写道：首先要强调的是，请不要作恶。只针对你拥有的服务使用Skipfish，或者先取得测试许可。这项工具完全以C语言编写，授权采用Apache Licence 2.0。最新版本是Skipfish 1.33 beta

安装: 首先到下面给出的官方地址下载,目前只支持linux下安装然后进行解压编译:

这个时候一定要注意看这句话：See dictionaries/README-FIRST to pick a dictionary for the
tool

我们要,字典准备好！因为它决定你扫描结果的质量！cd  dictionaries进入这个目录 ,把其中的一个字典copy 到skipfish目录下面/，重新命名为：skipfish.wl
这个时候就可以扫描你想要扫描的站点 # ./skipfish -o output_dir http://www.google.com

然后在output_dir/index.html 查看结果即可！详细的用法大家可以
./skipfish –h 得到想要的帮助

下载:http://code.google.com/p/skipfish/downloads/list
wiki:http://code.google.com/p/skipfish/wiki/SkipfishDoc