Špagety, skenujte zabezpečení svých webových aplikací

V příštím článku se podíváme na špagety. Toto je aplikace s otevřeným zdrojovým kódem. Byl vyvinut v Pythonu a umožní nám skenovat webové aplikace a hledat zranitelná místa abychom je mohli opravit. Aplikace je navržena k vyhledání různých výchozích nebo nezabezpečených souborů a také k detekci chybných konfigurací.

Dnes může každý uživatel s minimální znalostí vytvářet webové aplikace, a proto se denně vytvářejí tisíce webových aplikací. Problém je v tom, že mnoho z nich je vytvořeno bez dodržování základních bezpečnostních řádků. Abychom nenechali dveře otevřené, můžeme pomocí tohoto programu analyzovat, zda jsou naše webové aplikace na vysoké nebo alespoň přijatelné úrovni zabezpečení. Špagety jsou velmi zajímavý a snadno použitelný skener zranitelnosti.

Obecná charakteristika špaget 0.1.0

Jak byl vyvinut v krajta tento nástroj bude být možné provést v jakémkoli operačním systému aby byl kompatibilní s pythonem verze 2.7.

Tento program obsahujeFingerprinting„To nám umožní shromažďovat informace z webové aplikace. Mezi všemi informace, které můžete shromáždit Tato aplikace zdůrazňuje informace týkající se serveru, rámce používaného pro vývoj (CakePHP, CherryPy, Django, ...), upozorní nás, pokud obsahuje aktivní firewall (Cloudflare, AWS, Barracuda, ...), pokud byl vyvinut pomocí cms (Drupal, Joomla, Wordpress atd.), operačního systému, ve kterém je aplikace spuštěna, a použitého programovacího jazyka.

Můžeme také získat informace z administračního panelu webové aplikace, zadních dveří (pokud existují) a mnoha dalších věcí. Kromě toho je tento program vybaven řadou užitečných funkcí. To vše můžeme provést z terminálu a jednoduchým způsobem.

Činnost tohoto programu pro terminál byla obecně následující. Pokaždé, když spustíme nástroj, budeme muset jednoduše vybrat adresu URL webové aplikace, kterou chceme analyzovat. Budeme také muset zadat parametry odpovídající funkcím, které chceme použít. Poté bude nástroj odpovědný za provedení příslušné analýzy a zobrazí získané výsledky.

K kódu aplikace a jeho vlastnostem můžeme přistupovat ze stránky GitHub projektu. Tento nástroj je poměrně výkonný a snadno použitelný. Je také třeba říci, že má velmi aktivního vývojáře, který se specializuje na nástroje související s počítačovou bezpečností. Takže myslím, že další aktualizace je otázkou času.

Nainstalujte si špagety 0.1.0

V tomto článku budeme instalovat na Ubuntu 16.04, ale Spaghetti lze nainstalovat v jakékoli distribuci. Prostě musíme mít nainstalován python 2.7 (minimálně) a spusťte následující příkazy:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Po dokončení instalace můžeme nástroj použít ve všech webových aplikacích, které chceme skenovat.

Použijte špagety

Je důležité si uvědomit, že nejlepším využitím tohoto nástroje je hledání otevřených bezpečnostních mezer v našich webových aplikacích. S tímto programem by po nalezení bezpečnostních nedostatků mělo být pro nás snadné je vyřešit (pokud jsme vývojáři). Tímto způsobem můžeme zvýšit bezpečnost našich aplikací.

Chcete-li použít tento program, jak jsem již řekl, z terminálu (Ctrl + Alt + T) budeme muset napsat něco jako následující:

python spaghetti.py -u “objetivo” -s [0-3]

nebo můžeme také použít:

python spaghetti.py --url “objetivo” --scan [0-3]

Tam, kde si přečtete „objektivní“, budete muset umístit URL pro analýzu. S volbami -uo –url, které odkazuje na cíl skenování, nám -so –scan poskytne různé možnosti od 0 do 3. Podrobnější význam můžete zkontrolovat z nápovědy programu.

Pokud chceme vědět, jaké možnosti nám dává k dispozici, můžeme použít nápovědu, kterou nám zobrazí na obrazovce.

Bylo by pošetilé nezjistit, že by ostatní uživatelé mohli tento nástroj využít k pokusu o přístup k webovým aplikacím, které nevlastní. To bude záviset na etice každého uživatele.