Kitame straipsnyje mes pažvelgsime į spagečius. Tai yra atvirojo kodo programa. Jis buvo sukurtas Python ir tai leis mums nuskaityti žiniatinklio programas ieškant pažeidžiamumų siekiant juos ištaisyti. Programa skirta rasti įvairius numatytuosius ar nesaugius failus, taip pat aptikti neteisingas konfigūracijas.
Šiandien bet kuris vartotojas, turintis minimalių žinių, gali kurti interneto programas, todėl kasdien sukuriama tūkstančiai interneto programų. Problema ta, kad daugelis jų yra sukurti nesilaikant pagrindinių saugumo linijų. Kad išvengtume durų atidarymo, galime naudoti šią programą norėdami išanalizuoti, ar mūsų interneto programos yra aukšto ar bent priimtino saugumo lygio. Spagečiai yra labai įdomus ir lengvai naudojamas pažeidžiamumo skaitytuvas.
Bendrosios spagečių savybės 0.1.0
Kaip jis buvo sukurtas XNUMX m pitonas šis įrankis bus mokėti veikti bet kurioje operacinėje sistemoje padaryti jį suderinamu su „Python“ 2.7 versija.
Programoje yra galingas "Pirštų atspaudai“Tai leis mums rinkti informaciją iš interneto programos. Tarp visų informaciją, kurią galite surinkti Ši programa pabrėžia informaciją, susijusią su serveriu, kūrimui naudojamais pagrindais („CakePHP“, „CherryPy“, „Django“, ...), ji mums praneš, jei joje yra aktyvi užkarda („Cloudflare“, AWS, „Barracuda“ ...), jei jis buvo sukurtas naudojant CMS („Drupal“, „Joomla“, „Wordpress“ ir kt.), operacinę sistemą, kurioje veikia programa, ir naudojamą programavimo kalbą.
Mes taip pat galime gauti informacijos iš žiniatinklio programos administravimo skydo, galinių durų (jei tokių yra) ir daugelio kitų dalykų. Be to, šioje programoje yra keletas naudingų funkcijų. Visa tai mes galime įvykdyti iš terminalo ir paprastu būdu.
Paprastai terminalo programa veikė taip. Kiekvieną kartą paleidę įrankį turėsime tiesiog pasirinkti norimos analizuoti žiniatinklio programos URL. Taip pat turėsime įvesti parametrus, atitinkančius norimą taikyti funkcionalumą. Tada įrankis bus atsakingas už atitinkamos analizės atlikimą ir parodys gautus rezultatus.
Programos kodą ir jo charakteristikas galime pasiekti iš GitHub projekto. Naudingumas yra gana galingas ir lengvai naudojamas. Taip pat reikia pasakyti, kad jis turi labai aktyvų kūrėją, kuris specializuojasi įrankiuose, susijusiuose su kompiuterių saugumu. Taigi manau, kad kitas atnaujinimas yra laiko klausimas.
Įdiekite „Spaghetti 0.1.0“
Šiame straipsnyje mes ketiname įdiegti „Ubuntu 16.04“, tačiau „Spaghetti“ galima įdiegti bet kuriame platinime. Mes paprasčiausiai turime turėti „python 2.7“ (bent jau) ir paleiskite šias komandas:
git clone https://github.com/m4ll0k/Spaghetti.git cd Spaghetti pip install -r doc/requirements.txt python spaghetti.py -h
Baigę diegti, įrankį galime naudoti visose žiniatinklio programose, kurias norime nuskaityti.
Naudokite spagečius
Svarbu pažymėti, kad geriausias būdas naudoti šį įrankį yra rasti atvirų saugumo spragų mūsų interneto programose. Naudodamiesi programa, radę saugos trūkumus, mums turėtų būti lengva juos pašalinti (jei esame kūrėjai). Tokiu būdu galime padaryti savo programas saugesnes.
Norėdami naudoti šią programą, kaip jau minėjau anksčiau, iš terminalo (Ctrl + Alt + T) turėsime parašyti maždaug taip:
python spaghetti.py -u “objetivo” -s [0-3]
arba mes taip pat galime naudoti:
python spaghetti.py --url “objetivo” --scan [0-3]
Kur skaitote „objektyvus“, turėsite įdėti analizuojamą URL. Pasirinkus -uo –url, jis nurodo nuskaitymo tikslą, -so –scan suteiks mums įvairių galimybių nuo 0 iki 3. Išsamesnę reikšmę galite patikrinti programos žinyne.
Jei norime žinoti, kokias galimybes jis mums suteikia, galime naudoti pagalbą, kurią ji mums parodys ekrane.
Būtų kvaila neatrasti, kad kiti vartotojai galėtų pasinaudoti šia priemone bandydami pasiekti žiniatinklio programas, kurios jiems nepriklauso. Tai priklausys nuo kiekvieno vartotojo etikos.
Kaip bebūtų neįtikėtina, diegimas man nepavyksta, kai noriu įdiegti „Gražią sriubą“, jis visiškai nepalaiko „Python3“ ir dėl nesąmonės „Print“ antraštėse jie turėjo naudoti „import from __future___“ :
„BeautifulSoup“ rinkimas
Atsisiųsti „BeautifulSoup-3.2.1.tar.gz“
Užbaigti komandų python setup.py egg_info išvestį:
„Traceback“ (paskutinis paskutinis skambutis):
Failo «» 1 eilutė
Failas „/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py“, 22 eilutė
spausdinti "Vieneto testai nepavyko!"
^
„SyntaxError“: trūksta skliaustų kvietime spausdinti
Manau, kad „BeautifulSoup“ galima įdiegti naudojant „sudo apt install python-bs4“. Tikiuosi, kad tai išspręs jūsų problemą. Salu2.