Développé sous licence Apache 2.0, skipfish est pour le moment disponible dans une version bêta à destination des environnements Linux, FreeBSD 7.0, Mac OS X ainsi que Windows via Cygwin qui permet d'émuler un système UNIX. Gratuit, skipfish est un scanner de sécurité pour applications Web.

Selon le site spécialisé The H Security, skipfish offre des fonctionnalités similaires à celles proposées par des outils comme Nmap et Nessus, mais joue sur la rapidité d'exécution. En plus d'un faible taux de faux positifs, c'est justement ce sur quoi Google met l'accent en annonçant un outil entièrement écrit en C et capable d'effectuer 2 000 requêtes HTTP par seconde grâce à l'intégration d'une pile HTTP personnalisée ( 7 000 requêtes par seconde ont été effectuées à travers un réseau local ).

skipfish permet de détecter du code vulnérable aux attaques de type cross-site scripting ( XSS ), injection SQL, XML, et autres dont la liste est détaillée ici. skipfish n'est toutefois pas présenté comme une " solution miracle ". Il ne satisfait pas aux critères du  WASC ( Web Application Security Scanner Evaluation Criteria ), et ne vérifie pas si les applications sont vulnérables par rapport à une base de données de vulnérabilités connues. On notera aussi que les vérifications ne concernent pas le contenu basé sur des plugins : Flash, Java, PDF...


La page Google Code du projet skipfish