في المقالة التالية سوف نلقي نظرة على السباغيتي. هذا تطبيق مفتوح المصدر. تم تطويره في Python و سيسمح لنا بفحص تطبيقات الويب بحثًا عن نقاط الضعف من أجل تصحيحها. تم تصميم التطبيق للعثور على العديد من الملفات الافتراضية أو غير الآمنة ، وكذلك لاكتشاف التكوينات الخاطئة.
اليوم ، يمكن لأي مستخدم لديه الحد الأدنى من المعرفة إنشاء تطبيقات ويب ، ولهذا السبب يتم إنشاء الآلاف من تطبيقات الويب يوميًا. تكمن المشكلة في أن العديد منها يتم إنشاؤه دون اتباع خطوط الأمان الأساسية. لتجنب ترك الأبواب مفتوحة ، يمكننا استخدام هذا البرنامج لتحليل أن تطبيقات الويب لدينا تتمتع بمستوى أمان عالٍ أو على الأقل مقبول. Spaghetti هو ماسح ضوئي مثير للاهتمام وسهل الاستخدام.
الخصائص العامة للإسباجيتي 0.1.0
كما تم تطويره في الثعبان هذه الأداة سوف تكون قادرة على العمل على أي نظام تشغيل اجعله متوافقًا مع الإصدار 2.7 من python.
البرنامج يحتوي على برنامج قوي "البصماتسيسمح لنا ذلك بجمع المعلومات من تطبيق الويب. بين الجميع المعلومات التي يمكنك جمعها يسلط هذا التطبيق الضوء على المعلومات المتعلقة بالخادم ، والإطار المستخدم للتطوير (CakePHP ، CherryPy ، Django ، ...) ، وسوف يُعلمنا إذا كان يحتوي على جدار حماية نشط (Cloudflare ، AWS ، Barracuda ، ...) ، إذا تم تطويره باستخدام cms (Drupal ، Joomla ، Wordpress ، إلخ) ونظام التشغيل الذي يعمل فيه التطبيق ولغة البرمجة المستخدمة.
يمكننا أيضًا الحصول على معلومات من لوحة إدارة تطبيق الويب والأبواب الخلفية (إن وجدت) وأشياء أخرى كثيرة. علاوة على ذلك ، يأتي هذا البرنامج مزودًا بسلسلة من الوظائف المفيدة. كل هذا يمكننا القيام به من المحطة وبطريقة بسيطة.
تشغيل هذا البرنامج للمحطة ، بشكل عام ، كان على النحو التالي. في كل مرة نقوم فيها بتشغيل الأداة ، سيتعين علينا ببساطة اختيار عنوان URL لتطبيق الويب الذي نريد تحليله. سيتعين علينا أيضًا إدخال المعلمات المقابلة للوظيفة التي نريد تطبيقها. بعد ذلك ستكون الأداة مسؤولة عن إجراء التحليل المقابل وستعرض النتائج التي تم الحصول عليها.
يمكننا الوصول إلى كود التطبيق وخصائصه من صفحة جيثب من المشروع. الأداة قوية للغاية وسهلة الاستخدام. يجب أن يقال أيضًا أن لديها مطورًا نشطًا للغاية ، متخصص في الأدوات المتعلقة بأمن الكمبيوتر. لذلك أعتقد أن التحديث القادم هو مسألة وقت.
قم بتثبيت Spaghetti 0.1.0
في هذه المقالة سنقوم بالتثبيت على Ubuntu 16.04 ، ولكن يمكن تثبيت Spaghetti في أي توزيع. علينا ببساطة أن تثبيت بيثون 2.7 (كحد أدنى) وقم بتشغيل الأوامر التالية:
git clone https://github.com/m4ll0k/Spaghetti.git cd Spaghetti pip install -r doc/requirements.txt python spaghetti.py -h
بمجرد الانتهاء من التثبيت ، يمكننا استخدام الأداة في جميع تطبيقات الويب التي نريد فحصها.
استخدم السباغيتي
من المهم ملاحظة أن أفضل استخدام يمكننا استخدامه لهذه الأداة هو العثور على ثغرات أمنية مفتوحة في تطبيقات الويب الخاصة بنا. مع البرنامج ، بعد اكتشاف العيوب الأمنية ، يجب أن يكون من السهل علينا حلها (إذا كنا مطورين). بهذه الطريقة يمكننا جعل تطبيقاتنا أكثر أمانًا.
لاستخدام هذا البرنامج ، كما قلت سابقًا ، من الجهاز الطرفي (Ctrl + Alt + T) سيتعين علينا كتابة شيء مثل ما يلي:
python spaghetti.py -u “objetivo” -s [0-3]
أو يمكننا أيضًا استخدام:
python spaghetti.py --url “objetivo” --scan [0-3]
عندما تقرأ "الموضوعية" ، سيكون عليك وضع عنوان URL لتحليله. مع خيارات -uo –url يشير إلى هدف الفحص ، سيعطينا -so –scan إمكانيات مختلفة من 0 إلى 3. يمكنك التحقق من المعنى الأكثر تفصيلاً من تعليمات البرنامج.
إذا أردنا معرفة الخيارات التي يتيحها لنا ، فيمكننا استخدام المساعدة التي ستظهر لنا على الشاشة.
سيكون من الحماقة عدم العثور على مستخدمين آخرين يمكنهم الاستفادة من هذه الأداة لمحاولة الوصول إلى تطبيقات الويب التي لا يمتلكونها. هذا سوف يعتمد على أخلاقيات كل مستخدم.
على الرغم من أنه قد يبدو أمرًا لا يصدق ، فقد أخفقني التثبيت عندما أريد تثبيت "حساء جميل" ، فهو لا يدعم Python3 على الإطلاق وبسبب هراء التسميات التوضيحية في "الطباعة" كان يجب عليهم استخدام "الاستيراد من __المستقبل___" :
جمع BeautifulSoup
تحميل BeautifulSoup-3.2.1.tar.gz
الإخراج الكامل من الأمر python setup.py egg_info:
تتبع (آخر مكالمة أخيرة):
ملف «» ، السطر 1 ، بتنسيق
ملف "/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py" ، السطر 22
اطبع "فشلت اختبارات الوحدة!"
^
خطأ في بناء الجملة: أقواس مفقودة في استدعاء "طباعة"
أعتقد أنه يمكن تثبيت BeautifulSoup باستخدام sudo apt install python-bs4. نأمل أن يحل مشكلتك. سالو 2.