Spaghetti, imbas keselamatan aplikasi Web anda

Damián A.

Minit 4

penganalisis web spaghetti logo

Dalam artikel seterusnya kita akan melihat Spaghetti. Ini adalah aplikasi sumber terbuka. Ia telah dikembangkan di Python dan ini akan membolehkan kita mengimbas aplikasi web untuk mencari kelemahan untuk membetulkannya. Aplikasi ini dirancang untuk mencari pelbagai fail lalai atau tidak selamat, serta untuk mengesan salah konfigurasi.

Hari ini, mana-mana pengguna dengan pengetahuan yang minimum dapat membuat aplikasi web, itulah sebabnya ribuan aplikasi web dibuat setiap hari. Masalahnya ialah banyak dari mereka dibuat tanpa mengikuti garis keselamatan asas. Untuk mengelakkan pintu terbuka, kami dapat menggunakan program ini untuk menganalisis bahawa aplikasi web kami berada pada tahap keselamatan yang tinggi atau paling tidak dapat diterima. Spaghetti adalah pengimbas kerentanan yang sangat menarik dan mudah digunakan.

Ciri umum Spaghetti 0.1.0

Seperti yang telah dikembangkan di ular sawa alat ini akan dapat dilaksanakan di mana-mana sistem operasi menjadikannya serasi dengan python versi 2.7.

Program ini mengandungi "Cap jari"Itu akan membolehkan kita mengumpulkan maklumat dari aplikasi web. Antara semua maklumat yang boleh anda kumpulkan Aplikasi ini menyoroti maklumat yang berkaitan dengan pelayan, kerangka yang digunakan untuk pembangunan (CakePHP, CherryPy, Django, ...), ia akan memberitahu kami jika ia mengandungi firewall aktif (Cloudflare, AWS, Barracuda, ...), jika ia telah dikembangkan menggunakan cms (Drupal, Joomla, Wordpress, dll), sistem operasi di mana aplikasi berjalan dan bahasa pengaturcaraan yang digunakan.

hasil analisis spaghetti

Kami juga boleh mendapatkan maklumat dari panel pentadbiran aplikasi web, pintu belakang (jika ada) dan banyak perkara lain. Tambahan pula, program ini dilengkapi dengan beberapa siri fungsi berguna. Semua ini dapat kita laksanakan dari terminal dan dengan cara yang mudah.

Operasi program ini untuk terminal, secara umum, adalah seperti berikut. Setiap kali kita menjalankan alat, kita hanya perlu memilih URL aplikasi web yang ingin kita analisis. Kita juga harus memasukkan parameter yang sesuai dengan fungsi yang ingin kita terapkan. Kemudian alat ini akan bertanggungjawab membuat analisis yang sesuai dan akan menunjukkan hasil yang diperoleh.

Kami dapat mengakses kod aplikasi dan ciri-cirinya dari halaman Github projek. Utiliti ini cukup hebat dan senang digunakan. Harus juga dikatakan bahawa ia mempunyai pembangun yang sangat aktif, yang pakar dalam alat yang berkaitan dengan keselamatan komputer. Jadi saya rasa kemas kini seterusnya adalah masalah masa.

Pasang Spaghetti 0.1.0

Dalam artikel ini kita akan memasang pada Ubuntu 16.04, tetapi Spaghetti dapat dipasang di mana-mana pengedaran. Kita hanya perlu telah memasang python 2.7 (minimum) dan jalankan arahan berikut:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Setelah pemasangan selesai, kita dapat menggunakan alat tersebut di semua aplikasi web yang ingin kita pindai.

Gunakan Spaghetti

Penting untuk diperhatikan bahawa penggunaan terbaik dari alat ini ialah mencari jurang keselamatan terbuka dalam aplikasi web kita. Dengan adanya program ini, setelah mendapati kelemahan keselamatan, mudah bagi kita untuk menyelesaikannya (jika kita adalah pembangunnya). Dengan cara ini kita dapat menjadikan aplikasi kita lebih selamat.

Untuk menggunakan program ini, seperti yang telah saya katakan sebelumnya, dari terminal (Ctrl + Alt + T) kita harus menulis sesuatu seperti berikut:

python spaghetti.py -u “objetivo” -s [0-3]

atau kita juga boleh menggunakan:

python spaghetti.py --url “objetivo” --scan [0-3]

Di mana anda membaca "objektif" anda mesti meletakkan URL untuk dianalisis. Dengan pilihan -uo –url merujuk kepada sasaran imbasan, -scan-akan memberi kita kemungkinan berlainan dari 0 hingga 3. Anda dapat memeriksa makna yang lebih terperinci dari bantuan program.

Sekiranya kita ingin mengetahui pilihan apa yang disediakan untuk kita, kita dapat menggunakan bantuan yang akan ditunjukkan kepada kita di layar.

Adalah tidak masuk akal untuk tidak mendapati bahawa pengguna lain dapat memanfaatkan alat ini untuk mencuba mengakses aplikasi web yang tidak mereka miliki. Ini bergantung pada etika setiap pengguna.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   Jimmy olano kata
    membuat 7 tahun

    Seperti yang luar biasa, pemasangan gagal apabila saya ingin memasang "Sup yang cantik", ia sama sekali tidak menyokong Python3 dan kerana keterangan karut dalam "cetak" mereka semestinya menggunakan "import dari __future___" :

    Mengumpulkan BeautifulSoup
    Memuat turun BeautifulSoup-3.2.1.tar.gz
    Keluaran lengkap dari perintah python setup.py egg_info:
    Jejak balik (panggilan terakhir terakhir):
    Fail «», baris 1, dalam
    Fail "/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py", baris 22
    cetak "Ujian unit gagal!"
    ^
    SyntaxError: Tanda kurung tidak ada dalam panggilan untuk 'mencetak'

    Balas Jimmy Olano
    1.    Damian Amoedo kata
      membuat 7 tahun

      Saya rasa BeautifulSoup boleh dipasang menggunakan sudo apt python-bs4. Semoga ia dapat menyelesaikan masalah anda. Salu2.

      Balas Damian Amoedo