Spagetti, skannaa verkkosovellusten suojaus

Seuraavassa artikkelissa aiomme tarkastella spagettia. Tämä on avoimen lähdekoodin sovellus. Se on kehitetty Pythonissa ja sen avulla voimme skannata verkkosovelluksia haavoittuvuuksien etsimiseksi niiden korjaamiseksi. Sovellus on suunniteltu etsimään erilaisia ​​oletus- tai turvattomia tiedostoja sekä havaitsemaan väärät määritykset.

Nykyään kuka tahansa, jolla on vähän tietoa, voi luoda verkkosovelluksia, minkä vuoksi tuhansia verkkosovelluksia luodaan päivittäin. Ongelmana on, että monet niistä luodaan noudattamatta perusturvalinjoja. Välttääksemme ovien auki jättämisen voimme käyttää tätä ohjelmaa analysoimaan, että verkkosovelluksemme ovat korkealla tai ainakin hyväksyttävällä turvallisuustasolla. Spagetti on erittäin mielenkiintoinen ja helppokäyttöinen haavoittuvuuksien skanneri.

Spagetti 0.1.0: n yleiset ominaisuudet

Kuten se on kehitetty vuonna pytonkäärme tämä työkalu tulee pystyä suorittamaan missä tahansa käyttöjärjestelmässä tehdä siitä yhteensopiva python-version 2.7 kanssa.

Ohjelma sisältää tehokkaan "sormenjälkien ottamista”Sen avulla voimme kerätä tietoja verkkosovelluksesta. Kaikkien välillä kerättävät tiedot Tämä sovellus korostaa palvelimeen, kehitykseen käytettyyn kehykseen liittyviä tietoja (CakePHP, CherryPy, Django, ...), se ilmoittaa meille, jos se sisältää aktiivisen palomuurin (Cloudflare, AWS, Barracuda, ...) se on kehitetty käyttämällä CMS: ää (Drupal, Joomla, Wordpress jne.), käyttöjärjestelmää, jossa sovellus toimii, ja käytettyä ohjelmointikieliä.

Voimme myös saada tietoja verkkosovelluksen hallintapaneelista, takaovista (jos sellaisia ​​on) ja monista muista asioista. Lisäksi tässä ohjelmassa on joitain hyödyllisiä toimintoja. Kaikki tämä voimme toteuttaa terminaalista ja yksinkertaisella tavalla.

Tämän ohjelman toiminta päätelaitteelle on yleensä ollut seuraava. Aina kun suoritamme työkalun, meidän on yksinkertaisesti valittava analysoitavan verkkosovelluksen URL-osoite. Meidän on myös annettava parametrit, jotka vastaavat käyttämiämme toimintoja. Sitten työkalu vastaa vastaavan analyysin tekemisestä ja näyttää saadut tulokset.

Pääset sovelluskoodiin ja sen ominaisuuksiin sivulta Github projektin. Apuohjelma on melko tehokas ja helppo käyttää. On myös sanottava, että sillä on erittäin aktiivinen kehittäjä, joka on erikoistunut tietoturvaan liittyviin työkaluihin. Joten luulen, että seuraava päivitys on ajan kysymys.

Asenna Spagetti 0.1.0

Tässä artikkelissa aiomme asentaa Ubuntu 16.04: een, mutta Spagetti voidaan asentaa mihin tahansa jakeluun. Meidän on yksinkertaisesti pakko Python 2.7 on asennettuna (vähintään) ja suorita seuraavat komennot:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Kun asennus on valmis, voimme käyttää työkalua kaikissa verkkosovelluksissa, jotka haluamme skannata.

Käytä spagettia

On tärkeää huomata, että tätä työkalua voidaan parhaiten käyttää löytämään avoimia tietoturva-aukkoja verkkosovelluksistamme. Ohjelman avulla, kun olemme löytäneet tietoturva-aukot, meidän pitäisi olla helppo ratkaista ne (jos olemme kehittäjiä). Näin voimme tehdä sovelluksistamme turvallisempia.

Tämän ohjelman käyttämiseksi, kuten olen aiemmin sanonut, päätelaitteesta (Ctrl + Alt + T) joudumme kirjoittamaan jotain seuraavaa:

python spaghetti.py -u “objetivo” -s [0-3]

tai voimme käyttää myös:

python spaghetti.py --url “objetivo” --scan [0-3]

Jos luet "tavoite", sinun on lisättävä URL-osoite analysoitavaksi. Valinnoilla -uo –url se viittaa skannauskohteeseen, -so –scan antaa meille erilaisia ​​mahdollisuuksia välillä 0 - 3. Voit tarkistaa tarkemman merkityksen ohjelman ohjeista.

Jos haluamme tietää, mitä vaihtoehtoja se tarjoaa meille, voimme käyttää apua, jonka se näyttää meille näytöllä.

Olisi typerää, ettei huomaisi, että muut käyttäjät voisivat hyödyntää tätä työkalua yrittäessään käyttää verkkosovelluksia, joita he eivät omista. Tämä riippuu kunkin käyttäjän etiikasta.