स्पेगेटी, आपल्या वेब अनुप्रयोगांची सुरक्षा स्कॅन करा

पुढील लेखात आम्ही स्पेगेटीवर एक नजर टाकणार आहोत. हा एक मुक्त स्त्रोत अनुप्रयोग आहे. हे पायथन आणि मध्ये विकसित केले गेले आहे हे आम्हाला असुरक्षा शोधण्यासाठी वेब अनुप्रयोग स्कॅन करण्यास अनुमती देईल त्यांना दुरुस्त करण्यासाठी. अनुप्रयोग विविध डीफॉल्ट किंवा असुरक्षित फाइल्स शोधण्यासाठी तसेच चुकीची कॉन्फिगरेशन शोधण्यासाठी डिझाइन केलेले आहे.

आज, किमान ज्ञान असलेला कोणताही वापरकर्ता वेब अनुप्रयोग तयार करू शकतो, म्हणूनच दररोज हजारो वेब अनुप्रयोग तयार केले जातात. समस्या अशी आहे की त्यापैकी बर्‍याच मूलभूत सुरक्षा रेषांचे अनुसरण न करता तयार केल्या आहेत. दरवाजे उघडे ठेवणे टाळण्यासाठी, आम्ही आमच्या प्रोग्रामची सुरक्षा उच्च पातळीवर किंवा किमान स्वीकार्य पातळीवर असल्याचे विश्लेषण करण्यासाठी आम्ही हा प्रोग्राम वापरू शकतो. स्पेगेटी एक अतिशय मनोरंजक आणि असुरक्षितता स्कॅनर वापरण्यास सुलभ आहे.

स्पेगेटी 0.1.0 ची सामान्य वैशिष्ट्ये

मध्ये विकसित केले गेले आहे म्हणून अजगर हे साधन करेल कोणत्याही ऑपरेटिंग सिस्टमवर चालविण्यात सक्षम व्हा अजगर आवृत्ती 2.7 सह ते सुसंगत बनवा.

प्रोग्राममध्ये एक सामर्थ्यवान "फिंगरप्रिंटिंग”हे आम्हाला वेब अनुप्रयोगावरून माहिती संकलित करण्यास अनुमती देईल. सर्वांच्या मधे आपण संकलित करू शकता माहिती हा अनुप्रयोग सर्व्हरशी संबंधित माहिती, विकासासाठी वापरलेली चौकट (केकपीएचपी, चेरीपी, जाँगो, ...) हायलाइट करते, त्यात सक्रिय फायरवॉल (क्लाउडफ्लेअर, एडब्ल्यूएस, बॅरक्यूडा, ...) असल्यास तो आम्हाला सूचित करेल. ते सेमी (ड्रुपल, जूमला, वर्डप्रेस, इ.) वापरुन विकसित केले गेले आहे, ऑपरेटिंग सिस्टम ज्यामध्ये अनुप्रयोग चालतो आणि प्रोग्रामिंग भाषा वापरली जाते.

आम्ही वेब अ‍ॅप्लिकेशनच्या प्रशासकीय पॅनेल, मागील दरवाजे (तेथे असल्यास काही असल्यास) आणि इतर बर्‍याच गोष्टी देखील मिळवू शकतो. याउप्पर, हा प्रोग्राम उपयुक्त कार्याच्या काही मालिका सुसज्ज आहे. हे सर्व आम्ही पार पाडू शकतो टर्मिनल व सोप्या मार्गाने.

टर्मिनलसाठी सामान्यत: या कार्यक्रमाचे कार्य खालीलप्रमाणे आहे. प्रत्येक वेळी आम्ही साधन चालवितो तेव्हा आम्हाला विश्लेषित करण्याची इच्छा असलेल्या वेब अनुप्रयोगाची URL निवडणे आवश्यक असते. आम्हाला लागू करू इच्छित असलेल्या कार्यक्षमतेशी संबंधित पॅरामीटर्स देखील प्रविष्ट करावे लागतील. मग साधन संबंधित विश्लेषण करण्यासाठी प्रभारी असेल आणि प्राप्त परिणाम दर्शवेल.

च्या पृष्ठावरून आम्ही अनुप्रयोग कोड आणि त्यातील वैशिष्ट्यांमध्ये प्रवेश करू शकतो जिथूब प्रकल्प उपयुक्तता जोरदार शक्तिशाली आणि वापरण्यास सुलभ आहे. असे म्हटले पाहिजे की यात एक अतिशय सक्रिय विकसक आहे, जो संगणक सुरक्षिततेशी संबंधित साधनांमध्ये माहिर आहे. म्हणून माझा अंदाज आहे की पुढील अद्यतन ही वेळची बाब आहे.

स्पेगेटी 0.1.0 स्थापित करा

या लेखात आम्ही उबंटू 16.04 वर स्थापित करणार आहोत, परंतु स्पेगेटी कोणत्याही वितरणात स्थापित केली जाऊ शकते. आम्ही फक्त आहे अजगर २.2.7 स्थापित केले आहेत (किमान) आणि खालील आदेश चालवा:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

एकदा इन्स्टॉलेशन पूर्ण झाल्यावर आम्ही स्कॅन करू इच्छित सर्व वेब अनुप्रयोगांमधील साधन वापरू शकतो.

स्पेगेटी वापरा

हे लक्षात ठेवणे महत्वाचे आहे की आम्ही या डिव्हाइसचा सर्वात चांगला वापर आमच्या वेब अनुप्रयोगांमध्ये सुरक्षिततेतील अंतर शोधू शकतो. प्रोग्रामसह, सुरक्षा त्रुटी शोधल्यानंतर आपल्यास त्यांचे निराकरण करणे सोपे झाले पाहिजे (आम्ही विकसक असल्यास). अशा प्रकारे आम्ही आमचे अनुप्रयोग अधिक सुरक्षित करू शकतो.

हा प्रोग्रॅम वापरण्यासाठी मी टर्मिनल (Ctrl + Alt + T) वरुन पुढीलप्रमाणे काहीतरी लिहावे लागेल.

python spaghetti.py -u “objetivo” -s [0-3]

किंवा आम्ही हे देखील वापरू शकतो:

python spaghetti.py --url “objetivo” --scan [0-3]

आपण जिथे "उद्दीष्ट" वाचता त्या विश्लेषणासाठी आपल्याला URL लावावी लागेल. -यूओ ऊर्ल पर्यायांद्वारे हे स्कॅन लक्ष्यास संदर्भित करते, -एसके स्कॅन आम्हाला 0 ते 3 पर्यंत भिन्न शक्यता देईल. आपण प्रोग्रामच्या मदतीने अधिक तपशीलवार अर्थ तपासू शकता.

ते आम्हाला कोणते पर्याय उपलब्ध करुन देतात हे जाणून घेऊ इच्छित असल्यास, ती आपल्याला स्क्रीनवर दर्शविणार्‍या मदतीचा वापर करू शकतो.

इतर वापरकर्ते त्यांच्याकडे नसलेल्या वेब अनुप्रयोगांवर प्रवेश करण्याचा प्रयत्न करण्यासाठी या साधनाचा फायदा घेऊ शकतात हे शोधणे मूर्खपणाचे ठरेल. हे प्रत्येक वापरकर्त्याच्या नैतिकतेवर अवलंबून असेल.