Spagečiai, nuskaitykite savo žiniatinklio programų saugumą

Kitame straipsnyje mes pažvelgsime į spagečius. Tai yra atvirojo kodo programa. Jis buvo sukurtas Python ir tai leis mums nuskaityti žiniatinklio programas ieškant pažeidžiamumų siekiant juos ištaisyti. Programa skirta rasti įvairius numatytuosius ar nesaugius failus, taip pat aptikti neteisingas konfigūracijas.

Šiandien bet kuris vartotojas, turintis minimalių žinių, gali kurti interneto programas, todėl kasdien sukuriama tūkstančiai interneto programų. Problema ta, kad daugelis jų yra sukurti nesilaikant pagrindinių saugumo linijų. Kad išvengtume durų atidarymo, galime naudoti šią programą norėdami išanalizuoti, ar mūsų interneto programos yra aukšto ar bent priimtino saugumo lygio. Spagečiai yra labai įdomus ir lengvai naudojamas pažeidžiamumo skaitytuvas.

Bendrosios spagečių savybės 0.1.0

Kaip jis buvo sukurtas XNUMX m pitonas šis įrankis bus mokėti veikti bet kurioje operacinėje sistemoje padaryti jį suderinamu su „Python“ 2.7 versija.

Programoje yra galingas "Pirštų atspaudai“Tai leis mums rinkti informaciją iš interneto programos. Tarp visų informaciją, kurią galite surinkti Ši programa pabrėžia informaciją, susijusią su serveriu, kūrimui naudojamais pagrindais („CakePHP“, „CherryPy“, „Django“, ...), ji mums praneš, jei joje yra aktyvi užkarda („Cloudflare“, AWS, „Barracuda“ ...), jei jis buvo sukurtas naudojant CMS („Drupal“, „Joomla“, „Wordpress“ ir kt.), operacinę sistemą, kurioje veikia programa, ir naudojamą programavimo kalbą.

Mes taip pat galime gauti informacijos iš žiniatinklio programos administravimo skydo, galinių durų (jei tokių yra) ir daugelio kitų dalykų. Be to, šioje programoje yra keletas naudingų funkcijų. Visa tai mes galime įvykdyti iš terminalo ir paprastu būdu.

Paprastai terminalo programa veikė taip. Kiekvieną kartą paleidę įrankį turėsime tiesiog pasirinkti norimos analizuoti žiniatinklio programos URL. Taip pat turėsime įvesti parametrus, atitinkančius norimą taikyti funkcionalumą. Tada įrankis bus atsakingas už atitinkamos analizės atlikimą ir parodys gautus rezultatus.

Programos kodą ir jo charakteristikas galime pasiekti iš GitHub projekto. Naudingumas yra gana galingas ir lengvai naudojamas. Taip pat reikia pasakyti, kad jis turi labai aktyvų kūrėją, kuris specializuojasi įrankiuose, susijusiuose su kompiuterių saugumu. Taigi manau, kad kitas atnaujinimas yra laiko klausimas.

Įdiekite „Spaghetti 0.1.0“

Šiame straipsnyje mes ketiname įdiegti „Ubuntu 16.04“, tačiau „Spaghetti“ galima įdiegti bet kuriame platinime. Mes paprasčiausiai turime turėti „python 2.7“ (bent jau) ir paleiskite šias komandas:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Baigę diegti, įrankį galime naudoti visose žiniatinklio programose, kurias norime nuskaityti.

Naudokite spagečius

Svarbu pažymėti, kad geriausias būdas naudoti šį įrankį yra rasti atvirų saugumo spragų mūsų interneto programose. Naudodamiesi programa, radę saugos trūkumus, mums turėtų būti lengva juos pašalinti (jei esame kūrėjai). Tokiu būdu galime padaryti savo programas saugesnes.

Norėdami naudoti šią programą, kaip jau minėjau anksčiau, iš terminalo (Ctrl + Alt + T) turėsime parašyti maždaug taip:

python spaghetti.py -u “objetivo” -s [0-3]

arba mes taip pat galime naudoti:

python spaghetti.py --url “objetivo” --scan [0-3]

Kur skaitote „objektyvus“, turėsite įdėti analizuojamą URL. Pasirinkus -uo –url, jis nurodo nuskaitymo tikslą, -so –scan suteiks mums įvairių galimybių nuo 0 iki 3. Išsamesnę reikšmę galite patikrinti programos žinyne.

Jei norime žinoti, kokias galimybes jis mums suteikia, galime naudoti pagalbą, kurią ji mums parodys ekrane.

Būtų kvaila neatrasti, kad kiti vartotojai galėtų pasinaudoti šia priemone bandydami pasiekti žiniatinklio programas, kurios jiems nepriklauso. Tai priklausys nuo kiekvieno vartotojo etikos.