スパゲッティ、Webアプリケーションのセキュリティをスキャンします

Damián A.

4分

ロゴスパゲッティウェブアナライザー

次の記事では、スパゲッティを見ていきます。 これはオープンソースアプリケーションです。 Pythonで開発され、 脆弱性を探してWebアプリケーションをスキャンできるようになります それらを修正するために。 このアプリケーションは、さまざまなデフォルトファイルや安全でないファイルを検出し、設定ミスを検出するように設計されています。

今日、最小限の知識を持つユーザーなら誰でもWebアプリケーションを作成できます。そのため、毎日何千ものWebアプリケーションが作成されています。 問題は、それらの多くが基本的なセキュリティラインに従わずに作成されていることです。 ドアを開けたままにしないようにするために、このプログラムを使用して、Webアプリケーションのセキュリティレベルが高いか少なくとも許容できるレベルにあることを分析できます。 スパゲッティは非常に興味深く、使いやすい脆弱性スキャナーです.

スパゲッティ0.1.0の一般的な特徴

それがで開発されたように パイソン このツールは 任意のオペレーティングシステムで実行できる Pythonバージョン2.7と互換性を持たせます。

プログラムには強力な「デジタル指紋技術これにより、Webアプリケーションから情報を収集できるようになります。 すべての間 収集できる情報 このアプリケーションは、サーバー、開発に使用されるフレームワーク(CakePHP、CherryPy、Djangoなど)に関連する情報を強調表示し、アクティブなファイアウォール(Cloudflare、AWS、Barracudaなど)が含まれているかどうかを通知します。これは、cms(Drupal、Joomla、Wordpressなど)、アプリケーションが実行されるオペレーティングシステム、および使用されるプログラミング言語を使用して開発されました。

スパゲッティ分析結果

また、Webアプリケーションの管理パネル、バックドア(ある場合)など、さまざまな情報を取得できます。 さらに、このプログラムには、いくつかの便利な機能が備わっています。 私たちが実行できるこのすべて ターミナルから簡単な方法で.

ターミナルでのこのプログラムの操作は、一般的に次のとおりです。 ツールを実行するたびに、分析するWebアプリケーションのURLを選択するだけです。 また、適用する機能に対応するパラメーターを入力する必要があります。 次に、ツールが対応する分析の作成を担当し、得られた結果を表示します。

アプリケーションコードとその特性は、のページからアクセスできます。 githubの プロジェクトの。 このユーティリティは非常に強力で使いやすいです。 また、コンピュータセキュリティに関連するツールを専門とする非常に活発な開発者がいることも言わなければなりません。 したがって、次の更新は時間の問題だと思います。

Spaghetti0.1.0をインストールします

この記事ではUbuntu16.04にインストールしますが、Spaghettiはどのディストリビューションにもインストールできます。 私たちは単にする必要があります Python2.7がインストールされている (少なくとも)そして次のコマンドを実行します:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

インストールが完了すると、スキャンするすべてのWebアプリケーションでツールを使用できるようになります。

スパゲッティを使う

このツールを最大限に活用できるのは、Webアプリケーションの未解決のセキュリティギャップを見つけることであることに注意することが重要です。 プログラムを使用すると、セキュリティ上の欠陥を見つけた後、それらを簡単に解決できるはずです(私たちが開発者の場合)。 このようにして、アプリケーションをより安全にすることができます。

このプログラムを使用するには、前に述べたように、ターミナル(Ctrl + Alt + T)から次のように記述する必要があります。

python spaghetti.py -u “objetivo” -s [0-3]

または、以下を使用することもできます。

python spaghetti.py --url “objetivo” --scan [0-3]

「目的」を読む場所には、分析するURLを配置する必要があります。 スキャンターゲットを参照する-uo–urlオプションを使用すると、-so –scanにより、0から3までのさまざまな可能性が得られます。プログラムのヘルプから、より詳細な意味を確認できます。

利用できるオプションを知りたい場合は、画面に表示されるヘルプを利用できます。

他のユーザーがこのツールを利用して、自分が所有していないWebアプリケーションにアクセスしようとする可能性があることに気付かないのは愚かなことです。 これは、各ユーザーの倫理に依存します。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   ジミーオラノ
    HACE 7年

    信じられないかもしれませんが、「Beautiful soup」をインストールしようとすると、インストールに失敗します。Python3はまったくサポートされておらず、「print」のキャプションが意味をなさないため、「importfrom__future ___」を使用する必要がありました。 :

    BeautifulSoupを集める
    BeautifulSoupのダウンロード-3.2.1.tar.gz
    コマンドpythonsetup.py egg_infoからの完全な出力:
    トレースバック(最後の最後の呼び出し):
    ファイル«»、1行目、
    ファイル "/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py"、22行目
    印刷「ユニットテストに失敗しました!」
    ^
    SyntaxError:「print」の呼び出しに括弧がありません

    ジミーオラノに返信
    1.    ダミアン・アモエド
      HACE 7年

      BeautifulSoupはsudoapt installpython-bs4を使用してインストールできると思います。 それがあなたの問題を解決することを願っています。 Salu2。

      ダミアン・アモエドへの返信