Spaghetti, verifique a segurança de seus aplicativos da Web

Damián A.

Minutos 4

analisador de logo spaghetti web

No próximo artigo, daremos uma olhada no Spaghetti. Este é um aplicativo de código aberto. Ele foi desenvolvido em Python e nos permitirá fazer a varredura de aplicativos da web em busca de vulnerabilidades a fim de corrigi-los. O aplicativo é projetado para localizar vários arquivos padrão ou inseguros, bem como para detectar configurações incorretas.

Hoje, qualquer usuário com conhecimento mínimo pode criar aplicações web, é por isso que milhares de aplicações web são criadas diariamente. O problema é que muitos deles são criados sem seguir as linhas básicas de segurança. Para evitar deixar portas abertas, podemos usar este programa para analisar se nossos aplicativos da web estão em um nível alto ou pelo menos aceitável de segurança. Spaghetti é um scanner de vulnerabilidade muito interessante e fácil de usar.

Características gerais do espaguete 0.1.0

Como foi desenvolvido em python esta ferramenta irá ser capaz de rodar em qualquer sistema operacional torná-lo compatível com o python versão 2.7.

O programa contém um poderoso “Fingerprinting”Isso nos permitirá coletar informações de um aplicativo da web. Entre todos as informações que você pode coletar Este aplicativo destaca as informações relacionadas ao servidor, ao framework utilizado para o desenvolvimento (CakePHP, CherryPy, Django, ...), nos avisará se contém um firewall ativo (Cloudflare, AWS, Barracuda, ...), se foi desenvolvido usando um cms (Drupal, Joomla, Wordpress, etc.), o sistema operacional no qual o aplicativo é executado e a linguagem de programação utilizada.

resultado da análise de espaguete

Também podemos obter informações do painel de administração do aplicativo da web, backdoors (se houver) e muitas outras coisas. Além disso, este programa vem equipado com uma série de funcionalidades úteis. Tudo isso nós podemos realizar do terminal e de forma simples.

O funcionamento deste programa para o terminal, em geral, tem sido o seguinte. Cada vez que executarmos a ferramenta, teremos apenas que escolher a URL da aplicação web que desejamos analisar. Também teremos que inserir os parâmetros correspondentes à funcionalidade que queremos aplicar. Em seguida, a ferramenta se encarregará de fazer as análises correspondentes e mostrar os resultados obtidos.

Podemos acessar o código do aplicativo e suas características na página do Github do projecto. O utilitário é bastante poderoso e fácil de usar. Também é preciso dizer que conta com um desenvolvedor muito ativo, especializado em ferramentas relacionadas à segurança de computadores. Então, acho que a próxima atualização é uma questão de tempo.

Instale o Spaghetti 0.1.0

Neste artigo iremos instalar no Ubuntu 16.04, mas o Spaghetti pode ser instalado em qualquer distribuição. Nós simplesmente temos que tem o python 2.7 instalado (no mínimo) e execute os seguintes comandos:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Assim que a instalação for concluída, podemos usar a ferramenta em todos os aplicativos da web que desejamos verificar.

Use Spaghetti

É importante observar que o melhor uso que podemos fazer dessa ferramenta é encontrar brechas de segurança abertas em nossos aplicativos da web. Com o programa, depois de encontrar as falhas de segurança, deve ser fácil para nós resolvê-las (se formos os desenvolvedores). Desta forma, podemos tornar nossos aplicativos mais seguros.

Para usar este programa, como disse anteriormente, a partir do terminal (Ctrl + Alt + T), teremos que escrever algo como o seguinte:

python spaghetti.py -u “objetivo” -s [0-3]

ou também podemos usar:

python spaghetti.py --url “objetivo” --scan [0-3]

Onde você lê "objetivo", você terá que colocar a URL para analisar. Com as opções -uo –url, ele se refere ao alvo da varredura, o -so –scan nos dará diferentes possibilidades de 0 a 3. Você pode verificar o significado mais detalhado com a ajuda do programa.

Se quisermos saber quais as opções que ele nos disponibiliza, podemos recorrer à ajuda que ele nos mostrará na tela.

Seria tolice não descobrir que outros usuários poderiam tirar proveito dessa ferramenta para tentar acessar aplicativos da web que não são seus. Isso vai depender da ética de cada usuário.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   Jimmy olano dito
    atrás Anos 7

    Por incrível que pareça, a instalação falha quando eu quero instalar a "sopa bonita", ela não suporta Python3 de forma alguma e por causa do absurdo das legendas em "imprimir" eles deveriam ter usado "import from __future___" :

    Coletando BeautifulSoup
    Baixando BeautifulSoup-3.2.1.tar.gz
    Resultado completo do comando python setup.py egg_info:
    Traceback (última chamada mais recente):
    Arquivo «», linha 1, em
    Arquivo "/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py", linha 22
    imprimir "Os testes de unidade falharam!"
    ^
    SyntaxError: Parênteses ausentes na chamada para 'imprimir'

    Resposta a Jimmy Olano
    1.    Damião Amoedo dito
      atrás Anos 7

      Eu acho que BeautifulSoup pode ser instalado por sudo apt install python-bs4. Espero que isso resolva seu problema. Salu2.

      Resposta a Damian Amoedo