Špageti, skenirajte sigurnost svojih web aplikacija

U sljedećem članku ćemo pogledati Špagete. Ovo je aplikacija otvorenog koda. Razvijen je u Pythonu i omogućit će nam skeniranje web aplikacija u potrazi za ranjivostima kako bi ih ispravili. Aplikacija je dizajnirana za pronalaženje različitih zadanih ili nesigurnih datoteka, kao i za otkrivanje pogrešnih konfiguracija.

Danas svaki korisnik sa minimalnim znanjem može kreirati web aplikacije, zato se svakodnevno kreira na hiljade web aplikacija. Problem je što su mnogi od njih stvoreni bez slijeđenja osnovnih sigurnosnih linija. Kako ne bismo ostavili vrata otvorena, pomoću ovog programa možemo analizirati da li su naše web aplikacije na visokom ili barem prihvatljivom nivou sigurnosti. Špageti su vrlo zanimljiv i lak za upotrebu skener ranjivosti.

Opće karakteristike špageta 0.1.0

Kako je razvijen u python ovaj alat će biti u mogućnosti da se pokreće na bilo kojem operativnom sistemu čine ga kompatibilnim s python verzijom 2.7.

Program sadrži snažan "Otisak prstiju”To će nam omogućiti prikupljanje podataka iz web aplikacije. Između svih informacije koje možete prikupiti Ova aplikacija ističe informacije povezane sa serverom, okvirom koji se koristi za razvoj (CakePHP, CherryPy, Django, ...), obavijestit će nas ako sadrži aktivni zaštitni zid (Cloudflare, AWS, Barracuda, ...), ako razvijen je pomoću cms-a (Drupal, Joomla, Wordpress, itd.), operativnog sistema u kojem aplikacija radi i programskog jezika koji se koristi.

Informacije možemo dobiti i iz administrativne ploče web aplikacije, stražnjih vrata (ako ih ima) i mnogih drugih stvari. Pored toga, ovaj program dolazi opremljen nekim nizom korisnih funkcionalnosti. Sve ovo možemo izvršiti s terminala i na jednostavan način.

Općenito je rad ovog programa za terminal bio sljedeći. Svaki put kad pokrenemo alat jednostavno ćemo morati odabrati URL web aplikacije koju želimo analizirati. Također ćemo morati unijeti parametre koji odgovaraju funkcionalnosti koju želimo primijeniti. Tada će alat biti zadužen za izradu odgovarajuće analize i prikazat će dobivene rezultate.

Kodu aplikacije i njegovim karakteristikama možemo pristupiti sa stranice GitHub projekta. Uslužni program je prilično moćan i jednostavan za upotrebu. Također se mora reći da ima vrlo aktivnog programera, koji se specijalizirao za alate koji se odnose na računarsku sigurnost. Dakle, pretpostavljam da je sljedeće ažuriranje pitanje vremena.

Instalirajte špagete 0.1.0

U ovom ćemo članku instalirati na Ubuntu 16.04, ali špageti se mogu instalirati u bilo koju distribuciju. Jednostavno moramo imaju instaliran python 2.7 (najmanje) i pokrenite sljedeće naredbe:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Nakon završetka instalacije, alat možemo koristiti u svim web aplikacijama koje želimo skenirati.

Koristite špagete

Važno je napomenuti da je najbolje korištenje ovog alata pronalaženje otvorenih sigurnosnih praznina u našim web aplikacijama. Pomoću programa, nakon pronalaska sigurnosnih nedostataka, trebalo bi nam biti lako riješiti ih (ako smo programeri). Na ovaj način možemo učiniti naše aplikacije sigurnijima.

Da bismo koristili ovaj program, kao što sam već rekao, s terminala (Ctrl + Alt + T) morat ćemo napisati nešto poput sljedećeg:

python spaghetti.py -u “objetivo” -s [0-3]

ili takođe možemo koristiti:

python spaghetti.py --url “objetivo” --scan [0-3]

Tamo gdje pročitate "cilj", morat ćete postaviti URL za analizu. Uz opcije -uo –url koje se odnose na cilj skeniranja, -so –scan će nam pružiti različite mogućnosti od 0 do 3. Detaljnije značenje možete provjeriti uz pomoć programa.

Ako želimo znati koje nam opcije pruža na raspolaganju, možemo iskoristiti pomoć koju će nam prikazati na ekranu.

Bilo bi glupo ne otkriti da bi drugi korisnici mogli iskoristiti ovaj alat za pokušaj pristupa web aplikacijama koje nisu u njihovom vlasništvu. To će ovisiti o etici svakog korisnika.