Spaghetti, escaneja la seguretat de les teves aplicacions Web

Damián A.

4 minuts

logo spaghetti analitzador web

En el següent article anem a fer una ullada a Spaghetti. Aquesta és una aplicació de codi obert. Ha estat desenvolupada en Python i ens permetrà escanejar aplicacions web en recerca de vulnerabilitats per així poder corregir-les. L'aplicació està dissenyada per trobar diversos arxius predeterminats o insegurs, així com per detectar configuracions errònies.

Avui en dia, qualsevol usuari amb uns mínims coneixements pot crear aplicacions web, per això es creen milers d'aplicacions web a diari. El problema és que moltes d'elles es creen sense seguir unes línies de seguretat bàsiques. Per evitar deixar portes obertes podem utilitzar aquest programa per analitzar que les nostres aplicacions web es troben en un nivell de seguretat alta o com a mínim acceptables. Spaghetti és un escàner de vulnerabilitat força interessant i senzill d'utilitzar.

Característiques generals de Spaghetti 0.1.0

Com s'ha desenvolupada en pitó aquesta eina va a poder ser executada en qualsevol sistema operatiu que sigui compatible amb la versió 2.7 de Python.

El programa conté un potent "Empremtes digitals"Que ens permetrà recopilar informació d'una aplicació web. entre tota la informació que pot demanar aquesta aplicació destaca la informació relacionada amb servidor, el framework utilitzat per al desenvolupament (CakePHP, CherryPy, Django, ...), ens avisarà si conté un tallafocs actiu (Cloudflare, AWS, Barracuda, ...), si ha estat desenvolupat utilitzant un cms ( Drupal, Joomla, Wordpress, etc.), el sistema operatiu en què s'executa l'aplicació i el llenguatge de programació utilitzat.

resultat anàlisi spaghetti

També podrem obtenir informació de el panell d'administració de l'aplicació web, portes posteriors (si és que n'hi ha) i moltes altres coses. A més aquest programa ve equipat amb algunes sèries de funcionalitats útils. Tot això podrem fer-ho des de la terminal i de manera senzilla.

El funcionament d'aquest programa per a la terminal, en línies generals, ve sent el següent. Cada vegada que executem l'eina simplement haurem de triar la URL de l'aplicació web que desitgem analitzar. També haurem d'introduir els paràmetres corresponent a la funcionalitat que desitgem aplicar. Després l'eina s'encarregarà de fer l'anàlisi corresponent i mostrarà els resultats obtinguts.

Podrem accedir a el codi de l'aplicació ia les seves característiques des de la pàgina de Github de el projecte. La utilitat és força poderosa i fàcil d'utilitzar. També cal dir que compta amb un desenvolupador molt actiu, que s'especialitza en eines relacionades amb la seguretat informàtica. Per això suposo que una propera actualització és qüestió de temps.

Instal·lar Spaghetti 0.1.0

En aquest article anem a fer la instal·lació sobre un Ubuntu 16.04, però es pot instal·lar Spaghetti en qualsevol distribució. Simplement hem de tenir instal·lat python 2.7 (Com a mínim) i executar les següents comandes:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Un cop acabada la instal·lació podem utilitzar l'eina en totes les aplicacions web que desitgem escanejar.

utilitzar Spaghetti

És important destacar que el millor ús que podem fer d'aquesta eina és el de trobar bretxes de seguretat obertes a les nostres aplicacions web. Amb el programa, després de trobar les falles de seguretat, hauria de resultar senzill que puguem solucionar (si som els desenvolupadors). Així podrem fer més segures les nostres aplicacions.

Per utilitzar aquest programa, com ja he dit anteriorment, des de la terminal (Ctrl + Alt + T) haurem d'escriure alguna cosa com el següent:

python spaghetti.py -u “objetivo” -s [0-3]

o podrem utilitzar també:

python spaghetti.py --url “objetivo” --scan [0-3]

On llegeixes "objectiu" caldrà col·locar la URL a analitzar. Amb les opcions -uo-URL fa referència a l'objectiu de l'escaneig, l'-sota -scan ens donarà diferents possibilitats de la 0 a la 3. Pots consultar el significat més detallat des de l'ajuda de el programa.

Si volem saber quines opcions posa a la nostra disposició, podrem fer ús de l'ajuda que ens mostrarà per pantalla.

Seria de necis no caure en que altres usuaris podrien aprofitar aquesta eina per intentar accedir a aplicacions web que no són de la seva propietat. Això ja anirà en funció de l'ètica de cada usuari.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Jimmy Olano va dir
    fa 7 anys

    Per increïble que sembli em falla la instal·lació a l'voler instal·lar la «Bella sopa», no suporta Python3 per a res i per la tonteria dels capréntesis en «print» van haver d'usar «import from __future___»:

    Collecting BeautifulSoup
    Downloading BeautifulSoup-3.2.1.tar.gz
    Completi output from command python setup.py egg_info:
    Traceback (última trucada més recent):
    File «», línia 1, in
    File "/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py", line 22
    print Unit tests have failed!
    ^
    SyntaxError: Missing Parentheses in call to 'print'

    Respondre a Jimmy Olano
    1.    Damian Amoedo va dir
      fa 7 anys

      Crec que BeautifulSoup el pots instal·lar mitjançant sudo apt install python-BS4. Espero que solucioni el problema. Salu2.

      Respondre a Damian Amoedo