Im nächsten Artikel werden wir uns Spaghetti ansehen. Dies ist eine Open Source-Anwendung. Es wurde in Python und entwickelt Dadurch können wir Webanwendungen auf der Suche nach Schwachstellen scannen um sie zu korrigieren. Die Anwendung wurde entwickelt, um verschiedene Standard- oder unsichere Dateien zu finden und Fehlkonfigurationen zu erkennen.
Heutzutage kann jeder Benutzer mit minimalen Kenntnissen Webanwendungen erstellen, weshalb täglich Tausende von Webanwendungen erstellt werden. Das Problem ist, dass viele von ihnen erstellt werden, ohne die grundlegenden Sicherheitslinien zu befolgen. Um zu vermeiden, dass Türen offen bleiben, können wir mit diesem Programm analysieren, ob unsere Webanwendungen ein hohes oder zumindest akzeptables Sicherheitsniveau aufweisen. Spaghetti ist ein sehr interessanter und einfach zu bedienender Schwachstellenscanner.
Allgemeine Eigenschaften von Spaghetti 0.1.0
Wie es in entwickelt wurde python Dieses Tool wird in jedem Betriebssystem ausgeführt werden können Machen Sie es kompatibel mit Python Version 2.7.
Das Programm enthält eine leistungsstarke "FingerprintingDadurch können wir Informationen aus einer Webanwendung sammeln. Zwischen allen die Informationen, die Sie sammeln können Diese Anwendung hebt die Informationen zum Server hervor, dem für die Entwicklung verwendeten Framework (CakePHP, CherryPy, Django, ...). Sie benachrichtigt uns, wenn sie eine aktive Firewall enthält (Cloudflare, AWS, Barracuda, ...) Es wurde unter Verwendung eines CMS (Drupal, Joomla, Wordpress usw.), des Betriebssystems, auf dem die Anwendung ausgeführt wird, und der verwendeten Programmiersprache entwickelt.
Wir können Informationen auch über das Administrationsfenster der Webanwendung, Hintertüren (falls vorhanden) und viele andere Dinge erhalten. Darüber hinaus ist dieses Programm mit einer Reihe nützlicher Funktionen ausgestattet. All dies können wir durchführen vom Terminal und auf einfache Weise.
Die Funktionsweise dieses Programms für das Terminal war im Allgemeinen wie folgt. Jedes Mal, wenn wir das Tool ausführen, müssen wir einfach die URL der Webanwendung auswählen, die wir analysieren möchten. Wir müssen auch die Parameter eingeben, die der Funktionalität entsprechen, die wir anwenden möchten. Anschließend ist das Tool für die Durchführung der entsprechenden Analyse verantwortlich und zeigt die erzielten Ergebnisse an.
Wir können auf den Anwendungscode und seine Eigenschaften von der Seite von zugreifen Github von dem Projekt. Das Dienstprogramm ist sehr leistungsfähig und einfach zu bedienen. Es muss auch gesagt werden, dass es einen sehr aktiven Entwickler gibt, der sich auf Tools im Zusammenhang mit Computersicherheit spezialisiert hat. Ich denke, ein nächstes Update ist eine Frage der Zeit.
Installieren Sie Spaghetti 0.1.0
In diesem Artikel werden wir unter Ubuntu 16.04 installieren, aber Spaghetti kann in jeder Distribution installiert werden. Wir müssen einfach habe Python 2.7 installiert (mindestens) und führen Sie die folgenden Befehle aus:
git clone https://github.com/m4ll0k/Spaghetti.git cd Spaghetti pip install -r doc/requirements.txt python spaghetti.py -h
Nach Abschluss der Installation können wir das Tool in allen Webanwendungen verwenden, die gescannt werden sollen.
Verwenden Sie Spaghetti
Es ist wichtig zu beachten, dass wir dieses Tool am besten nutzen können, um offene Sicherheitslücken in unseren Webanwendungen zu finden. Nachdem das Programm die Sicherheitslücken gefunden hat, sollte es für uns einfach sein, sie zu beheben (wenn wir die Entwickler sind). Auf diese Weise können wir unsere Anwendungen sicherer machen.
Um dieses Programm zu verwenden, müssen wir, wie bereits erwähnt, vom Terminal aus (Strg + Alt + T) Folgendes schreiben:
python spaghetti.py -u “objetivo” -s [0-3]
oder wir können auch verwenden:
python spaghetti.py --url “objetivo” --scan [0-3]
Wenn Sie "objektiv" lesen, müssen Sie die zu analysierende URL platzieren. Mit den Optionen -uo –url, die sich auf das Scan-Ziel beziehen, bietet uns -so –scan verschiedene Möglichkeiten von 0 bis 3. Sie können die detailliertere Bedeutung in der Hilfe des Programms überprüfen.
Wenn wir wissen möchten, welche Optionen uns zur Verfügung stehen, können wir die Hilfe nutzen, die uns auf dem Bildschirm angezeigt wird.
Es wäre dumm, nicht festzustellen, dass andere Benutzer dieses Tool nutzen könnten, um auf Webanwendungen zuzugreifen, die sie nicht besitzen. Dies hängt von der Ethik jedes Benutzers ab.
So unglaublich es auch scheinen mag, die Installation schlägt fehl, wenn ich die "Schöne Suppe" installieren möchte, sie unterstützt Python3 überhaupt nicht und wegen des Unsinns der Beschriftungen in "Drucken" hätten sie "Import aus __future___" verwenden sollen. ::
Schöne Suppe sammeln
Herunterladen von BeautifulSoup-3.2.1.tar.gz
Vollständige Ausgabe des Befehls python setup.pygg_info:
Traceback (jüngste Aufforderung zuletzt):
Datei «», Zeile 1, in
Datei "/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py", Zeile 22
print "Unit-Tests sind fehlgeschlagen!"
^
SyntaxError: Fehlende Klammern beim Aufruf von 'print'
Ich denke, BeautifulSoup kann von sudo apt installiert werden python-bs4 installiert werden. Hoffe, es löst Ihr Problem. Salu2.