Spagetti, ellenőrizze a webalkalmazások biztonságát

Damián A.

2 Comments

logó spagetti webanalizátor

A következő cikkben megnézzük a spagettit. Ez egy nyílt forráskódú alkalmazás. Python és ez lehetővé teszi számunkra a webalkalmazások beolvasását a sebezhetőségek keresése érdekében javításuk érdekében. Az alkalmazást különféle alapértelmezett vagy nem biztonságos fájlok keresésére, valamint a hibás konfigurációk felderítésére tervezték.

Ma bárki, minimális tudással rendelkező felhasználó készíthet webalkalmazásokat, ezért naponta több ezer webalkalmazás jön létre. A probléma az, hogy sokuk az alapvető biztonsági vonalak követése nélkül jön létre. Az ajtók nyitva hagyásának elkerülése érdekében használhatjuk ezt a programot annak elemzésére, hogy webalkalmazásaink magas vagy legalábbis elfogadható biztonsági szinten vannak-e. A Spagetti egy nagyon érdekes és könnyen használható biztonsági rés-leolvasó.

A spagetti 0.1.0 általános jellemzői

Amint azt ben kifejlesztették piton ez az eszköz megteszi képes legyen bármilyen operációs rendszeren futtatni kompatibilis legyen a python 2.7 verziójával.

A program egy erőteljes "fingerprinting”Ez lehetővé teszi számunkra, hogy információkat gyűjtsünk egy webes alkalmazásból. Mindegyik között az összegyűjthető információkat Ez az alkalmazás kiemeli a szerverrel, a fejlesztéshez használt keretrendszerrel (CakePHP, CherryPy, Django, ...) kapcsolatos információkat, értesít minket, ha aktív tűzfalat tartalmaz (Cloudflare, AWS, Barracuda, ...), ha egy cms (Drupal, Joomla, Wordpress stb.), az operációs rendszer, amelyben az alkalmazás fut, és a használt programozási nyelv segítségével került kifejlesztésre.

spagetti elemzés eredménye

Információt is szerezhetünk a webalkalmazás adminisztrációs paneljén, a hátsó ajtókon (ha vannak ilyenek) és még sok minden mással. Ezenkívül ez a program néhány hasznos funkcióval rendelkezik. Mindezt végre tudjuk hajtani a terminálról és egyszerű módon.

Ennek a programnak a végberendezéssel történő működtetése általában a következő volt. Az eszköz minden egyes futtatásakor egyszerűen ki kell választanunk az elemezni kívánt webalkalmazás URL-jét. Meg kell adnunk azokat a paramétereket is, amelyek megfelelnek az alkalmazandó funkcionalitásnak. Ezután az eszköz felel a megfelelő elemzés elkészítéséért, és megmutatja a kapott eredményeket.

A (z) oldalról érhetjük el az alkalmazás kódját és annak jellemzőit GitHub a projektről. A segédprogram elég hatékony és könnyen használható. Azt is el kell mondani, hogy nagyon aktív fejlesztője van, aki a számítógépes biztonsággal kapcsolatos eszközökre szakosodott. Tehát azt hiszem, egy következő frissítés idő kérdése.

Telepítse a Spagetti 0.1.0 alkalmazást

Ebben a cikkben az Ubuntu 16.04-re fogunk telepíteni, de a Spaghetti bármilyen terjesztésbe telepíthető. Egyszerűen muszáj legyen telepítve a python 2.7 (legalább), és futtassa a következő parancsokat:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Miután a telepítés befejeződött, használhatjuk az eszközt az összes webes alkalmazásban, amelyet ellenőrizni akarunk.

Használjon spagettit

Fontos megjegyezni, hogy ennek az eszköznek a legjobb felhasználása az, ha webalkalmazásainkban nyitott biztonsági hiányosságokat találunk. A programmal, miután megtaláltuk a biztonsági hibákat, könnyen meg kell oldanunk azokat (ha mi vagyunk a fejlesztők). Így biztonságosabbá tehetjük alkalmazásainkat.

Ahhoz, hogy ezt a programot használni lehessen, amint azt korábban említettem, a terminálról (Ctrl + Alt + T) a következőket kell írnunk:

python spaghetti.py -u “objetivo” -s [0-3]

vagy használhatjuk:

python spaghetti.py --url “objetivo” --scan [0-3]

Ahol "objektívet" olvas, ott el kell helyeznie az elemezni kívánt URL-t. A -uo –url opciókkal a szkennelési célra utal, a -so –scan 0 és 3 közötti különbözõ lehetõségeket kínál számunkra. A részletesebb jelentést a program súgójában ellenõrizhetjük.

Ha tudni akarjuk, milyen lehetőségeket kínál számunkra, használhatjuk azt a segítséget, amelyet a képernyőn megmutat nekünk.

Ostobaság lenne, ha nem tapasztalnánk, hogy más felhasználók is kihasználhatják ezt az eszközt, hogy megpróbálják elérni azokat a webalkalmazásokat, amelyek nem a tulajdonukban vannak. Ez az egyes felhasználók etikájától függ.


2 hozzászólás, hagyd a tiedet

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   Jimmy Olano dijo
    ezelőtt 7 év

    Bármennyire is hihetetlen, a telepítés meghiúsít, amikor a "Gyönyörű levest" akarom telepíteni, egyáltalán nem támogatja a Python3-at, és a "print" feliratok hülyesége miatt nekik "import from __future___" -t kellett volna használniuk :

    BeautifulSoup gyűjtése
    A BeautifulSoup-3.2.1.tar.gz letöltése
    Teljes kimenet a python setup.py egg_info parancsból:
    Traceback (a legutóbbi hívás utoljára):
    Fájl «», 1. sor, be
    "/Tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py" fájl, 22. sor
    print "Az egység tesztjei sikertelenek voltak!"
    ^
    SyntaxError: Hiányzó zárójel a „nyomtatáshoz” szóló hívásban

    Válasz Jimmy Olano-nak
    1.    Damian Amoedo dijo
      ezelőtt 7 év

      Szerintem a BeautifulSoup telepíthető a sudo apt install python-bs4 használatával. Remélem, hogy megoldja a problémáját. Salu2.

      Válasz Damian Amoedo-nak