스파게티, 웹 애플리케이션의 보안 검사

Damián A.

4 분

로고 스파게티 웹 분석기

다음 기사에서 우리는 스파게티를 살펴볼 것입니다. 이것은 오픈 소스 애플리케이션입니다. Python으로 개발되었으며 취약점을 찾기 위해 웹 애플리케이션을 스캔 할 수 있습니다. 수정하기 위해. 이 응용 프로그램은 다양한 기본 또는 안전하지 않은 파일을 찾고 잘못된 구성을 감지하도록 설계되었습니다.

오늘날 최소한의 지식 만 있으면 누구나 웹 응용 프로그램을 만들 수 있으므로 매일 수천 개의 웹 응용 프로그램이 만들어집니다. 문제는 대부분이 기본적인 보안 선을 따르지 않고 생성된다는 것입니다. 문을 열어 두지 않기 위해이 프로그램을 사용하여 웹 응용 프로그램이 높은 수준 또는 최소한 허용 가능한 수준의 보안에 있는지 분석 할 수 있습니다. 스파게티는 매우 흥미롭고 사용하기 쉬운 취약성 스캐너입니다..

스파게티 0.1.0의 일반적인 특성

개발 된대로 파이썬 이 도구는 모든 운영 체제에서 실행 가능 파이썬 버전 2.7과 호환되도록 만드십시오.

이 프로그램에는 강력한 "지문”그러면 웹 애플리케이션에서 정보를 수집 할 수 있습니다. 모두 사이 수집 할 수있는 정보 이 애플리케이션은 개발에 사용되는 프레임 워크 (CakePHP, CherryPy, Django 등) 인 서버와 관련된 정보를 강조합니다. cms (Drupal, Joomla, Wordpress 등), 응용 프로그램이 실행되는 운영 체제 및 사용 된 프로그래밍 언어를 사용하여 개발되었습니다.

스파게티 분석 결과

또한 웹 애플리케이션의 관리 패널, 백도어 (있는 경우) 및 기타 많은 정보를 얻을 수 있습니다. 또한이 프로그램은 몇 가지 유용한 기능을 갖추고 있습니다. 우리가 할 수있는 모든 것 터미널에서 간단한 방법으로.

일반적으로 터미널에 대한이 프로그램의 작동은 다음과 같습니다. 도구를 실행할 때마다 분석하려는 웹 애플리케이션의 URL을 선택하기 만하면됩니다. 적용하려는 기능에 해당하는 매개 변수도 입력해야합니다. 그 후 도구는 해당 분석을 수행하고 얻은 결과를 보여줍니다.

우리는 페이지에서 응용 프로그램 코드와 그 특성에 액세스 할 수 있습니다. 깃허브 프로젝트의. 이 유틸리티는 매우 강력하고 사용하기 쉽습니다. 또한 컴퓨터 보안과 관련된 도구를 전문으로하는 매우 적극적인 개발자가 있다고 말해야합니다. 그래서 다음 업데이트는 시간 문제라고 생각합니다.

스파게티 0.1.0 설치

이 기사에서는 Ubuntu 16.04에 설치할 예정이지만 Spaghetti는 모든 배포판에 설치할 수 있습니다. 우리는 단순히 Python 2.7이 설치되어 있어야합니다. (최소한) 다음 명령을 실행하십시오.

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

설치가 완료되면 스캔하려는 모든 웹 애플리케이션에서 도구를 사용할 수 있습니다.

스파게티 사용

이 도구를 최대한 활용할 수있는 방법은 웹 애플리케이션에서 열린 보안 허점을 찾는 것입니다. 프로그램을 사용하면 보안 결함을 발견 한 후 쉽게 해결할 수 있습니다 (개발자 인 경우). 이렇게하면 애플리케이션을 더욱 안전하게 만들 수 있습니다.

이 프로그램을 사용하려면 이전에 말했듯이 터미널 (Ctrl + Alt + T)에서 다음과 같이 작성해야합니다.

python spaghetti.py -u “objetivo” -s [0-3]

또는 다음을 사용할 수도 있습니다.

python spaghetti.py --url “objetivo” --scan [0-3]

"목표"를 읽는 곳에 분석 할 URL을 배치해야합니다. -uo –url 옵션을 사용하면 스캔 대상을 참조하고 -so –scan은 0에서 3까지 다양한 가능성을 제공합니다. 프로그램의 도움말에서 더 자세한 의미를 확인할 수 있습니다.

어떤 옵션을 사용할 수 있는지 알고 싶다면 화면에 표시되는 도움말을 사용할 수 있습니다.

다른 사용자가이 도구를 이용하여 자신이 소유하지 않은 웹 응용 프로그램에 액세스 할 수 있다는 사실을 알지 못하는 것은 어리석은 일입니다. 이것은 각 사용자의 윤리에 달려 있습니다.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   지미 올라 노
    7 년

    놀랍게도 "아름다운 수프"를 설치하고 싶을 때 설치가 실패하고 Python3을 전혀 지원하지 않으며 "인쇄"에있는 캡션의 넌센스 때문에 "__future___에서 가져 오기"를 사용해야했습니다. :

    BeautifulSoup 수집
    BeautifulSoup-3.2.1.tar.gz (을)를 다운받는 중
    python setup.py egg_info 명령의 전체 출력 :
    추적 (최근 호출 마지막) :
    파일«», 줄 1, in
    파일 "/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py", 22 행
    print "단위 테스트가 실패했습니다!"
    ^
    SyntaxError : 'print'호출에 괄호 누락

    지미 올라 노에게 답장
    1.    데미안 아모에도
      7 년

      BeautifulSoup은 sudo apt install python-bs4를 사용하여 설치할 수 있다고 생각합니다. 문제가 해결되기를 바랍니다. 살루 2.

      Damian Amoedo에게 답장