Špageti, skenirajte sigurnost svojih web aplikacija

U sljedećem ćemo članku pogledati Špagete. Ovo je aplikacija otvorenog koda. Razvijen je u Pythonu i omogućit će nam skeniranje web aplikacija u potrazi za ranjivostima kako bi ih ispravili. Aplikacija je dizajnirana za pronalaženje različitih zadanih ili nesigurnih datoteka, kao i za otkrivanje pogrešnih konfiguracija.

Danas svaki korisnik s minimalnim znanjem može stvarati web aplikacije, zato se svakodnevno stvaraju tisuće web aplikacija. Problem je što su mnogi od njih stvoreni bez slijeđenja osnovnih sigurnosnih linija. Kako ne bismo ostavili vrata otvorena, pomoću ovog programa možemo analizirati jesu li naše web aplikacije na visokoj ili barem prihvatljivoj razini sigurnosti. Špageti su vrlo zanimljiv i lak za upotrebu skener ranjivosti.

Opće karakteristike špageta 0.1.0

Kako je razvijen u piton ovaj alat će biti u mogućnosti izvršiti u bilo kojem operacijskom sustavu čine ga kompatibilnim s python verzijom 2.7.

Program sadrži snažan „Identifikacija”To će nam omogućiti prikupljanje podataka iz web aplikacije. Između svih podatke koje možete prikupiti Ova aplikacija ističe informacije povezane s poslužiteljem, okvirom koji se koristi za razvoj (CakePHP, CherryPy, Django, ...), obavijestit će nas sadrži li aktivni vatrozid (Cloudflare, AWS, Barracuda, ...), ako razvijen je pomoću cms-a (Drupal, Joomla, Wordpress, itd.), operativnog sustava u kojem aplikacija radi i programskog jezika koji se koristi.

Informacije također možemo dobiti iz administrativne ploče web aplikacije, stražnjih vrata (ako ih ima) i mnogih drugih stvari. Nadalje, ovaj je program opremljen nekim nizom korisnih funkcionalnosti. Sve ovo možemo izvršiti s terminala i na jednostavan način.

Općenito je rad ovog programa za terminal bio sljedeći. Svaki put kad pokrenemo alat jednostavno ćemo morati odabrati URL web aplikacije koju želimo analizirati. Također ćemo morati unijeti parametre koji odgovaraju funkcionalnosti koju želimo primijeniti. Tada će alat biti zadužen za izradu odgovarajuće analize i prikazat će dobivene rezultate.

Kodu aplikacije i njegovim karakteristikama možemo pristupiti sa stranice Github projekta. Uslužni program je prilično moćan i jednostavan za upotrebu. Također se mora reći da ima vrlo aktivnog programera koji se specijalizirao za alate povezane s računalnom sigurnošću. Stoga pretpostavljam da je sljedeće ažuriranje pitanje vremena.

Instalirajte špagete 0.1.0

U ovom ćemo članku instalirati na Ubuntu 16.04, ali špageti se mogu instalirati u bilo koju distribuciju. Jednostavno moramo imaju instaliran python 2.7 (najmanje) i pokrenite sljedeće naredbe:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Nakon završetka instalacije, alat možemo koristiti u svim web aplikacijama koje želimo skenirati.

Koristite špagete

Važno je napomenuti da je najbolje iskoristiti ovaj alat pronalaženje otvorenih sigurnosnih praznina u našim web aplikacijama. Pomoću programa, nakon pronalaska sigurnosnih nedostataka, trebalo bi nam biti lako riješiti ih (ako smo programeri). Na ovaj način možemo učiniti naše aplikacije sigurnijima.

Da bismo koristili ovaj program, kao što sam već rekao, s terminala (Ctrl + Alt + T) morat ćemo napisati nešto poput sljedećeg:

python spaghetti.py -u “objetivo” -s [0-3]

ili također možemo koristiti:

python spaghetti.py --url “objetivo” --scan [0-3]

Tamo gdje pročitate "cilj", morat ćete postaviti URL za analizu. S opcijama -uo –url koje se odnose na cilj skeniranja, -so –scan će nam pružiti različite mogućnosti od 0 do 3. Detaljnije značenje možete provjeriti uz pomoć programa.

Ako želimo znati koje nam mogućnosti pruža na raspolaganju, možemo iskoristiti pomoć koju će nam prikazati na ekranu.

Bilo bi glupo ne otkriti da bi drugi korisnici mogli iskoristiti ovaj alat kako bi pokušali pristupiti web aplikacijama koje nisu u njihovom vlasništvu. To će ovisiti o etici svakog korisnika.