Spaghettí, skannaðu öryggi vefforrita þinna

logo spaghettí vefgreiningartæki

Í næstu grein ætlum við að skoða Spaghetti. Þetta er opinn forrit. Það hefur verið þróað í Python og það gerir okkur kleift að skanna vefforrit í leit að veikleika til þess að leiðrétta þær. Forritið er hannað til að finna ýmsar sjálfgefnar eða ótryggar skrár sem og til að greina rangar stillingar.

Í dag getur hver notandi með lágmarksþekkingu búið til vefforrit, þess vegna eru þúsundir vefforrita búnar til daglega. Vandamálið er að mörg þeirra eru búin til án þess að fylgja grundvallarlínum öryggis. Til að forðast að láta hurðir vera opnar getum við notað þetta forrit til að greina að vefforrit okkar séu í háu eða að minnsta kosti viðunandi öryggi. Spaghetti er mjög áhugaverður og þægilegur í notkun varnarleiki skanni.

Almenn einkenni Spaghetti 0.1.0

Eins og það hefur verið þróað í python þetta tól mun geta keyrt á hvaða stýrikerfi sem er gerðu það samhæft við python útgáfu 2.7.

Forritið inniheldur öflugt „Fingrafar”Þetta gerir okkur kleift að safna upplýsingum frá vefforriti. Milli allra upplýsingarnar sem þú getur safnað Þetta forrit dregur fram upplýsingarnar sem tengjast netþjóninum, rammann sem notaður er við þróun (CakePHP, CherryPy, Django, ...), hann mun láta okkur vita ef hann inniheldur virkan eldvegg (Cloudflare, AWS, Barracuda, ...), ef það hefur verið þróað með því að nota cms (Drupal, Joomla, Wordpress o.s.frv.), stýrikerfið sem forritið keyrir á og forritunarmálið notað.

niðurstaða spagettígreiningar

Við getum einnig fengið upplýsingar frá stjórnun vefumsóknarinnar, bakdyrum (ef einhverjar eru) og margt annað. Ennfremur er þetta forrit útbúið með nokkrum gagnlegum virkni. Allt þetta getum við framkvæmt frá flugstöðinni og á einfaldan hátt.

Rekstur þessa áætlunar fyrir flugstöðina hefur almennt verið eftirfarandi. Í hvert skipti sem við keyrum tækið verðum við einfaldlega að velja vefslóð vefforritsins sem við viljum greina. Við verðum einnig að slá inn breytur sem svara til virkni sem við viljum beita. Þá mun tækið sjá um að gera samsvarandi greiningu og sýna niðurstöðurnar sem fengust.

Við getum nálgast forritakóðann og einkenni hans frá síðunni í GitHub verkefnisins. Gagnsemi er nokkuð öflug og auðveld í notkun. Það verður líka að segjast að það er mjög virkur verktaki, sem sérhæfir sig í verkfærum sem tengjast tölvuöryggi. Svo ég býst við að næsta uppfærsla sé spurning um tíma.

Settu upp Spaghetti 0.1.0

Í þessari grein ætlum við að setja upp á Ubuntu 16.04, en hægt er að setja Spaghetti í hvaða dreifingu sem er. Við verðum einfaldlega að hafa python 2.7 uppsett (að lágmarki) og keyrðu eftirfarandi skipanir:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Þegar uppsetningu er lokið getum við notað tólið í öllum vefforritum sem við viljum skanna.

Notaðu spaghettí

Það er mikilvægt að hafa í huga að besta notkunin á þessu tóli er að finna opnar öryggisbil í vefforritum okkar. Með forritinu, eftir að hafa fundið öryggisgalla, ætti það að vera auðvelt fyrir okkur að leysa þau (ef við erum verktaki). Þannig getum við gert umsóknir okkar öruggari.

Til að nota þetta forrit, eins og ég hef áður sagt, frá flugstöðinni (Ctrl + Alt + T) verðum við að skrifa eitthvað eins og eftirfarandi:

python spaghetti.py -u “objetivo” -s [0-3]

eða við getum líka notað:

python spaghetti.py --url “objetivo” --scan [0-3]

Þar sem þú lest „markmið“ verðurðu að setja slóðina til að greina. Með -uo –url valkostunum sem það vísar til skannamarkmiðsins, -so –scan mun gefa okkur mismunandi möguleika frá 0 til 3. Þú getur athugað nánari merkingu úr hjálparforritinu.

Ef við viljum vita hvaða valkosti það gerir okkur kleift, getum við nýtt þá hjálp sem það mun sýna okkur á skjánum.

Það væri heimskulegt að komast ekki að því að aðrir notendur gætu nýtt sér þetta tól til að reyna að fá aðgang að vefforritum sem þeir eiga ekki. Þetta fer eftir siðareglum hvers notanda.


Innihald greinarinnar fylgir meginreglum okkar um siðareglur ritstjórnar. Til að tilkynna um villu smelltu hér.

2 athugasemdir, láttu þitt eftir

Skildu eftir athugasemd þína

Netfangið þitt verður ekki birt.

*

*

  1. Ábyrgðarmaður gagna: Miguel Ángel Gatón
  2. Tilgangur gagnanna: Control SPAM, umsögn stjórnun.
  3. Lögmæti: Samþykki þitt
  4. Samskipti gagna: Gögnunum verður ekki miðlað til þriðja aðila nema með lagalegri skyldu.
  5. Gagnageymsla: Gagnagrunnur sem Occentus Networks (ESB) hýsir
  6. Réttindi: Hvenær sem er getur þú takmarkað, endurheimt og eytt upplýsingum þínum.

  1.   Jimmy Olano sagði

    Eins ótrúlegt og það kann að virðast, mistakast uppsetningin mig þegar ég vil setja upp „Fallegu súpuna“, hún styður alls ekki Python3 og vegna vitleysunnar í myndatextunum í „prenti“ hefðu þeir átt að nota „innflutning frá __future___“ :

    Safnaðu BeautifulSoup
    Sækir BeautifulSoup-3.2.1.tar.gz
    Heill framleiðsla frá skipun python setup.py egg_info:
    Spurning (síðast hringt síðast):
    Skrá «», lína 1, inn
    Skrá „/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py“, lína 22
    prentaðu "Einingarprófanir hafa mistekist!"
    ^
    SyntaxError: Sviga sem vantar í kallið til að 'prenta'

    1.    Damian Amoedo sagði

      Ég held að hægt sé að setja BeautifulSoup upp með því að nota sudo apt install python-bs4. Vona að það leysi vandamál þitt. Salu2.