Spaghetti, pindai keamanan aplikasi Web Anda

Damián A.

4 menit

logo web analyzer spaghetti

Pada artikel selanjutnya kita akan melihat Spaghetti. Ini adalah aplikasi open source. Ini telah dikembangkan dengan Python dan itu akan memungkinkan kami untuk memindai aplikasi web untuk mencari kerentanan untuk memperbaikinya. Aplikasi ini dirancang untuk menemukan berbagai file default atau tidak aman, serta untuk mendeteksi kesalahan konfigurasi.

Saat ini, setiap pengguna dengan pengetahuan minimal dapat membuat aplikasi web, itulah sebabnya ribuan aplikasi web dibuat setiap hari. Masalahnya adalah banyak dari mereka dibuat tanpa mengikuti garis keamanan dasar. Untuk menghindari membiarkan pintu terbuka, kita dapat menggunakan program ini untuk menganalisis bahwa aplikasi web kita berada pada tingkat keamanan yang tinggi atau setidaknya dapat diterima. Spaghetti adalah pemindai kerentanan yang sangat menarik dan mudah digunakan.

Karakteristik umum Spaghetti 0.1.0

Seperti yang telah dikembangkan di ular sanca alat ini akan dapat dijalankan di sistem operasi apa pun membuatnya kompatibel dengan python versi 2.7.

Program ini berisi "FingerprintingItu akan memungkinkan kami mengumpulkan informasi dari aplikasi web. Diantara semuanya informasi yang dapat Anda kumpulkan Aplikasi ini menyoroti informasi yang terkait dengan server, kerangka kerja yang digunakan untuk pengembangan (CakePHP, CherryPy, Django, ...), itu akan memberi tahu kami jika berisi firewall aktif (Cloudflare, AWS, Barracuda, ...), jika itu telah dikembangkan menggunakan cms (Drupal, Joomla, Wordpress, dll.), Sistem operasi tempat aplikasi berjalan dan bahasa pemrograman yang digunakan.

hasil analisis spaghetti

Kita juga dapat memperoleh informasi dari panel administrasi aplikasi web, pintu belakang (jika ada) dan banyak hal lainnya. Lebih jauh lagi, program ini dilengkapi dengan beberapa rangkaian fungsi yang berguna. Semua ini bisa kita lakukan dari terminal dan dengan cara yang sederhana.

Pengoperasian program ini untuk terminal, secara umum, adalah sebagai berikut. Setiap kali kita menjalankan alat ini, kita hanya perlu memilih URL aplikasi web yang ingin kita analisis. Kami juga harus memasukkan parameter yang sesuai dengan fungsionalitas yang ingin kami terapkan. Kemudian alat tersebut akan bertugas membuat analisis yang sesuai dan akan menampilkan hasil yang diperoleh.

Kita dapat mengakses kode aplikasi dan karakteristiknya dari halaman Github dari proyek tersebut. Utilitasnya cukup kuat dan mudah digunakan. Juga harus dikatakan bahwa ia memiliki pengembang yang sangat aktif, yang berspesialisasi dalam alat yang berkaitan dengan keamanan komputer. Jadi saya kira pembaruan berikutnya adalah masalah waktu.

Pasang Spaghetti 0.1.0

Pada artikel ini kita akan menginstal di Ubuntu 16.04, tetapi Spaghetti dapat diinstal di distribusi apa pun. Kita harus melakukannya telah menginstal python 2.7 (minimal) dan jalankan perintah berikut:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Setelah penginstalan selesai, kita dapat menggunakan alat tersebut di semua aplikasi web yang ingin kita pindai.

Gunakan Spaghetti

Penting untuk dicatat bahwa penggunaan terbaik yang dapat kami lakukan dari alat ini adalah menemukan celah keamanan terbuka di aplikasi web kami. Dengan program ini, setelah menemukan kelemahan keamanan, seharusnya mudah bagi kami untuk menyelesaikannya (jika kami adalah pengembangnya). Dengan cara ini kami dapat membuat aplikasi kami lebih aman.

Untuk menggunakan program ini, seperti yang saya katakan sebelumnya, dari terminal (Ctrl + Alt + T) kita harus menulis sesuatu seperti berikut:

python spaghetti.py -u “objetivo” -s [0-3]

atau kita juga bisa menggunakan:

python spaghetti.py --url “objetivo” --scan [0-3]

Di mana Anda membaca "objektif", Anda harus menempatkan URL untuk dianalisis. Dengan opsi -uo –url yang mengacu pada target pemindaian, -so –scan akan memberi kita kemungkinan berbeda dari 0 hingga 3. Anda dapat memeriksa arti yang lebih detail dari bantuan program.

Jika kita ingin mengetahui opsi apa yang tersedia bagi kita, kita dapat menggunakan bantuan yang akan ditampilkannya di layar.

Bodoh jika tidak mengetahui bahwa pengguna lain dapat memanfaatkan alat ini untuk mencoba mengakses aplikasi web yang tidak mereka miliki. Ini akan tergantung pada etika masing-masing pengguna.


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.

  1.   Jimmy olano dijo
    dahulu 7 tahun

    Meskipun kelihatannya luar biasa, penginstalan gagal ketika saya ingin menginstal "Sup yang indah", itu tidak mendukung Python3 sama sekali dan karena omong kosong dari teks di "print" mereka seharusnya menggunakan "impor dari __future___" :

    Mengumpulkan BeautifulSoup
    Mengunduh BeautifulSoup-3.2.1.tar.gz
    Keluaran lengkap dari perintah python setup.py egg_info:
    Traceback (panggilan terakhir terakhir):
    File «», baris 1, dalam
    File "/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py", baris 22
    print "Tes unit gagal!"
    ^
    SyntaxError: Tanda kurung tidak ada dalam panggilan untuk 'print'

    Balas Jimmy Olano
    1.    Damian Amoedo dijo
      dahulu 7 tahun

      Saya pikir BeautifulSoup dapat diinstal menggunakan sudo apt install python-bs4. Semoga ini menyelesaikan masalah Anda. Salu2.

      Balas Damian Amoedo