स्पेगेटी, अपने वेब अनुप्रयोगों की सुरक्षा स्कैन करें

अगले लेख में हम स्पेगेटी पर एक नज़र डालने जा रहे हैं। यह एक ओपन सोर्स एप्लिकेशन है। इसे पायथन और में विकसित किया गया है यह हमें कमजोरियों की तलाश में वेब एप्लिकेशन को स्कैन करने की अनुमति देगा उन्हें सही करने के लिए। एप्लिकेशन को विभिन्न डिफ़ॉल्ट या असुरक्षित फ़ाइलों को खोजने के लिए डिज़ाइन किया गया है, साथ ही साथ गलतफहमी का पता लगाने के लिए।

आज, न्यूनतम ज्ञान वाला कोई भी उपयोगकर्ता वेब एप्लिकेशन बना सकता है, इसीलिए रोजाना हजारों वेब एप्लिकेशन बनाए जाते हैं। समस्या यह है कि उनमें से कई बुनियादी सुरक्षा लाइनों का पालन किए बिना बनाए जाते हैं। दरवाजे खुले छोड़ने से बचने के लिए, हम इस कार्यक्रम का उपयोग यह विश्लेषण करने के लिए कर सकते हैं कि हमारे वेब एप्लिकेशन सुरक्षा के उच्च या कम से कम स्वीकार्य स्तर पर हैं। स्पेगेटी भेद्यता स्कैनर का उपयोग करने के लिए एक बहुत ही रोचक और आसान है.

स्पेगेटी की सामान्य विशेषताएं 0.1.0

जैसा कि इसमें विकसित किया गया है अजगर यह उपकरण होगा किसी भी ऑपरेटिंग सिस्टम पर चलने में सक्षम हो अजगर संस्करण 2.7 के साथ इसे संगत करें।

कार्यक्रम में एक शक्तिशाली शामिल है "फिंगरप्रिंटिंग"यह हमें एक वेब अनुप्रयोग से जानकारी एकत्र करने की अनुमति देगा। सभी के बीच वह जानकारी जो आप एकत्र कर सकते हैं यह एप्लिकेशन सर्वर से संबंधित जानकारी पर प्रकाश डालता है, विकास के लिए उपयोग की जाने वाली रूपरेखा (CakePHP, CherryPy, Django, ...), यह हमें सूचित करेगा यदि इसमें एक सक्रिय फ़ायरवॉल (Cloudflare, AWS, Barracuda, ...), यदि है यह एक सेमी (Drupal, Joomla, Wordpress, आदि), ऑपरेटिंग सिस्टम जिसमें एप्लिकेशन चलाता है और उपयोग की गई प्रोग्रामिंग भाषा का उपयोग करके विकसित किया गया है।

हम वेब एप्लिकेशन, बैक डोर (यदि कोई हो) के प्रशासन पैनल और कई अन्य चीजों से भी जानकारी प्राप्त कर सकते हैं। इसके अलावा, यह कार्यक्रम उपयोगी कार्यात्मकताओं की कुछ श्रृंखला से सुसज्जित है। यह सब हम कर सकते हैं टर्मिनल से और एक सरल तरीके से.

टर्मिनल के लिए इस कार्यक्रम का संचालन, सामान्य रूप से, निम्नलिखित है। हर बार जब हम उपकरण चलाते हैं तो हमें बस उस वेब एप्लिकेशन का URL चुनना होगा जिसका हम विश्लेषण करना चाहते हैं। हमें उस कार्यक्षमता के अनुरूप पैरामीटर भी दर्ज करना होगा जिसे हम लागू करना चाहते हैं। तब उपकरण संबंधित विश्लेषण करने के लिए प्रभारी होगा और प्राप्त परिणामों को दिखाएगा।

हम के पेज से एप्लिकेशन कोड और इसकी विशेषताओं तक पहुंच सकते हैं Github परियोजना का। उपयोगिता काफी शक्तिशाली और उपयोग में आसान है। यह भी कहा जाना चाहिए कि इसके पास बहुत सक्रिय डेवलपर हैं, जो कंप्यूटर सुरक्षा से संबंधित उपकरणों में माहिर हैं। इसलिए मुझे लगता है कि अगला अपडेट समय की बात है।

स्पेगेटी 0.1.0 स्थापित करें

इस लेख में हम Ubuntu 16.04 पर स्थापित करने जा रहे हैं, लेकिन स्पेगेटी को किसी भी वितरण में स्थापित किया जा सकता है। हमें बस करना है अजगर 2.7 स्थापित है (कम से कम) और निम्नलिखित कमांड चलाएं:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

एक बार स्थापना समाप्त हो जाने के बाद, हम उन सभी वेब एप्लिकेशन में टूल का उपयोग कर सकते हैं जिन्हें हम स्कैन करना चाहते हैं।

स्पेगेटी का उपयोग करें

यह ध्यान रखना महत्वपूर्ण है कि इस उपकरण का सबसे अच्छा उपयोग हम अपने वेब अनुप्रयोगों में खुले सुरक्षा अंतरालों को खोजने के लिए कर सकते हैं। कार्यक्रम के साथ, सुरक्षा खामियों को खोजने के बाद, हमारे लिए उन्हें हल करना आसान होना चाहिए (यदि हम डेवलपर्स हैं)। इस तरह हम अपने अनुप्रयोगों को अधिक सुरक्षित बना सकते हैं।

इस कार्यक्रम का उपयोग करने के लिए, जैसा कि मैंने पहले कहा है, टर्मिनल (Ctrl + Alt + T) से हमें कुछ इस तरह लिखना होगा:

python spaghetti.py -u “objetivo” -s [0-3]

या हम भी उपयोग कर सकते हैं:

python spaghetti.py --url “objetivo” --scan [0-3]

जहां आप "उद्देश्य" पढ़ते हैं, आपको विश्लेषण करने के लिए यूआरएल रखना होगा। -Uo -url विकल्पों के साथ यह स्कैन लक्ष्य को संदर्भित करता है, -so -scan हमें 0 से 3 तक विभिन्न संभावनाएं देगा। आप प्रोग्राम की मदद से अधिक विस्तृत अर्थ की जांच कर सकते हैं।

यदि हम यह जानना चाहते हैं कि यह हमारे लिए कौन से विकल्प उपलब्ध कराता है, तो हम उस सहायता का उपयोग कर सकते हैं जो हमें स्क्रीन पर दिखाएगी।

यह मूर्खतापूर्ण नहीं होगा कि अन्य उपयोगकर्ता इस उपकरण का लाभ उठा सकें, ताकि वे वेब एप्लिकेशन का उपयोग करने का प्रयास कर सकें जो उनके पास नहीं है। यह प्रत्येक उपयोगकर्ता की नैतिकता पर निर्भर करेगा।