Спагети, сканирайте сигурността на вашите уеб приложения

Damián A.

4 Minutos

лого спагети уеб анализатор

В следващата статия ще разгледаме Спагетите. Това е приложение с отворен код. Той е разработен в Python и ще ни позволи да сканираме уеб приложения в търсене на уязвимости за да ги коригира. Приложението е предназначено да намира различни по подразбиране или несигурни файлове, както и да открива погрешни конфигурации.

Днес всеки потребител с минимални познания може да създава уеб приложения, затова ежедневно се създават хиляди уеб приложения. Проблемът е, че много от тях са създадени без да се следват основните линии за сигурност. За да не оставяме вратите отворени, можем да използваме тази програма, за да анализираме, че нашите уеб приложения са на високо или поне приемливо ниво на сигурност. Спагетите са много интересен и лесен за използване скенер за уязвимост.

Обща характеристика на спагетите 0.1.0

Както е разработено през питон този инструмент ще да може да се изпълнява във всяка операционна система направете го съвместим с python версия 2.7.

Програмата съдържа мощна „Снемането на пръстови отпечатъци”Това ще ни позволи да събираме информация от уеб приложение. Между всички информацията, която можете да съберете Това приложение подчертава информацията, свързана със сървъра, рамката, използвана за разработка (CakePHP, CherryPy, Django, ...), ще ни уведоми, ако съдържа активна защитна стена (Cloudflare, AWS, Barracuda, ...), ако разработена е с помощта на cms (Drupal, Joomla, Wordpress и др.), операционната система, в която се изпълнява приложението, и използвания език за програмиране.

резултат от анализ на спагети

Също така можем да получим информация от административния панел на уеб приложението, задните врати (ако има такива) и много други неща. Освен това, тази програма се предлага с няколко серии полезни функционалности. Всичко това можем да извършим от терминала и по прост начин.

Работата на тази програма за терминала като цяло е следната. Всеки път, когато стартираме инструмента, просто ще трябва да изберем URL адреса на уеб приложението, което искаме да анализираме. Също така ще трябва да въведем параметрите, съответстващи на функционалността, която искаме да приложим. Тогава инструментът ще отговаря за извършването на съответния анализ и ще показва получените резултати.

Можем да получим достъп до кода на приложението и неговите характеристики от страницата на Github на проекта. Помощната програма е доста мощна и лесна за използване. Трябва също така да се каже, че има много активен разработчик, който е специализиран в инструменти, свързани с компютърната сигурност. Така че предполагам, че следващата актуализация е въпрос на време.

Инсталирайте Спагети 0.1.0

В тази статия ще инсталираме на Ubuntu 16.04, но Спагети могат да бъдат инсталирани във всяка дистрибуция. Просто трябва имат инсталиран python 2.7 (минимум) и изпълнете следните команди:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

След като инсталацията приключи, можем да използваме инструмента във всички уеб приложения, които искаме да сканираме.

Използвайте спагети

Важно е да се отбележи, че най-доброто използване на този инструмент е да открием отворени пропуски в сигурността в нашите уеб приложения. С програмата, след като открием недостатъците в сигурността, трябва да ни е лесно да ги разрешим (ако сме разработчици). По този начин можем да направим нашите приложения по-сигурни.

За да използваме тази програма, както казах по-рано, от терминала (Ctrl + Alt + T) ще трябва да напишем нещо като следното:

python spaghetti.py -u “objetivo” -s [0-3]

или можем също да използваме:

python spaghetti.py --url “objetivo” --scan [0-3]

Там, където четете „цел“, ще трябва да поставите URL адреса за анализ. С опциите -uo –url се отнася до целта за сканиране, -so –scan ще ни даде различни възможности от 0 до 3. Можете да проверите по-подробното значение от помощта на програмата.

Ако искаме да знаем какви опции ни предоставя на разположение, можем да се възползваме от помощта, която ще ни покаже на екрана.

Би било глупаво да не открием, че други потребители могат да се възползват от този инструмент, за да се опитат да получат достъп до уеб приложения, които не притежават. Това ще зависи от етиката на всеки потребител.


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.

  1.   Джими Олано каза той
    hace 7 година

    Колкото и невероятно да изглежда, инсталацията ми се проваля, когато искам да инсталирам „Красивата супа“, изобщо не поддържа Python3 и поради глупостите на надписите в „print“ би трябвало да използват „import from __future___“ :

    Събиране на BeautifulSoup
    Изтегляне на BeautifulSoup-3.2.1.tar.gz
    Пълно извеждане от команда python setup.py egg_info:
    Traceback (последно последно обаждане):
    Файл «», ред 1, в
    Файл "/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py", ред 22
    print "Единичните тестове са неуспешни!"
    ^
    SyntaxError: Липсващи скоби при извикване на 'print'

    Отговорете на Джими Олано
    1.    Дамян Амедо каза той
      hace 7 година

      Мисля, че BeautifulSoup може да бъде инсталиран с помощта на sudo apt install python-bs4. Надявам се, че решава проблема ви. Salu2.

      Отговор на Дамян Амедо