Spaghete, scanează securitatea aplicațiilor tale Web

Damián A.

Minute 4

analizor web spaghete logo

În articolul următor vom arunca o privire asupra Spaghetelor. Aceasta este o aplicație open source. A fost dezvoltat în Python și ne va permite să scanăm aplicații web în căutarea vulnerabilităților pentru a le corecta. Aplicația este concepută pentru a găsi diferite fișiere implicite sau nesigure, precum și pentru a detecta configurări greșite.

Astăzi, orice utilizator cu cunoștințe minime poate crea aplicații web, de aceea sunt create zilnic mii de aplicații web. Problema este că multe dintre ele sunt create fără a urma linii de securitate de bază. Pentru a evita lăsarea ușilor deschise, putem folosi acest program pentru a analiza faptul că aplicațiile noastre web au un nivel ridicat sau cel puțin acceptabil de securitate. Spaghetti este un scaner de vulnerabilități foarte interesant și ușor de utilizat.

Caracteristicile generale ale spaghetelor 0.1.0

După cum a fost dezvoltat în piton acest instrument va să poată fi executat în orice sistem de operare faceți-l compatibil cu versiunea python 2.7.

Programul conține un puternic "amprentarea”Acest lucru ne va permite să colectăm informații dintr-o aplicație web. Între toate informațiile pe care le puteți colecta Această aplicație evidențiază informațiile legate de server, cadrul utilizat pentru dezvoltare (CakePHP, CherryPy, Django, ...), ne va anunța dacă conține un firewall activ (Cloudflare, AWS, Barracuda, ...), dacă a fost dezvoltat folosind un cms (Drupal, Joomla, Wordpress etc.), sistemul de operare în care rulează aplicația și limbajul de programare utilizat.

rezultatul analizei spaghetelor

De asemenea, putem obține informații din panoul de administrare al aplicației web, ușile din spate (dacă există) și multe alte lucruri. În plus, acest program vine echipat cu câteva serii de funcționalități utile. Toate acestea le putem realiza de la terminal și într-un mod simplu.

Funcționarea acestui program pentru terminal, în general, a fost următoarea. De fiecare dată când rulăm instrumentul, va trebui pur și simplu să alegem adresa URL a aplicației web pe care dorim să o analizăm. Va trebui, de asemenea, să introducem parametrii corespunzători funcționalității pe care dorim să o aplicăm. Apoi instrumentul va fi însărcinat cu efectuarea analizei corespunzătoare și va arăta rezultatele obținute.

Putem accesa codul aplicației și caracteristicile sale de pe pagina de Github a proiectului. Utilitarul este destul de puternic și ușor de utilizat. De asemenea, trebuie spus că are un dezvoltator foarte activ, care este specializat în instrumente legate de securitatea computerului. Deci, cred că o următoare actualizare este o chestiune de timp.

Instalați Spaghetti 0.1.0

În acest articol vom instala pe Ubuntu 16.04, dar Spaghetti poate fi instalat în orice distribuție. Pur și simplu trebuie au instalat python 2.7 (cel puțin) și rulați următoarele comenzi:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Odată ce instalarea este terminată, putem folosi instrumentul în toate aplicațiile web pe care dorim să le scanăm.

Folosiți spaghete

Este important să rețineți că cea mai bună utilizare pe care o putem face acestui instrument este de a găsi lacune de securitate deschise în aplicațiile noastre web. Cu programul, după ce am găsit defectele de securitate, ar trebui să ne fie ușor să le rezolvăm (dacă suntem dezvoltatorii). Astfel ne putem face aplicațiile mai sigure.

Pentru a utiliza acest program, așa cum am spus anterior, de la terminal (Ctrl + Alt + T) va trebui să scriem ceva de genul următor:

python spaghetti.py -u “objetivo” -s [0-3]

sau putem folosi și:

python spaghetti.py --url “objetivo” --scan [0-3]

Unde citiți „obiectiv” va trebui să plasați adresa URL pentru a o analiza. Cu opțiunile -uo –url se referă la ținta de scanare, -so –scan ne va oferi diferite posibilități de la 0 la 3. Puteți verifica semnificația mai detaliată din ajutorul programului.

Dacă vrem să știm ce opțiuni ne pune la dispoziție, putem folosi ajutorul pe care ni-l va arăta pe ecran.

Ar fi o prostie să nu descoperim că alți utilizatori ar putea profita de acest instrument pentru a încerca să acceseze aplicații web pe care nu le dețin. Acest lucru va depinde de etica fiecărui utilizator.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   Jimmy Olano el a spus
    hace Ani 7

    Oricât de incredibil ar părea, instalarea nu reușește când vreau să instalez „Supa frumoasă”, nu acceptă deloc Python3 și din cauza prostiei subtitrărilor din „print” ar fi trebuit să folosească „import din __future___” :

    Colectarea BeautifulSoup
    Descărcarea BeautifulSoup-3.2.1.tar.gz
    Finalizați ieșirea din comanda python setup.py egg_info:
    Traceback (ultimul apel cel mai recent):
    Fișier «», linia 1, în
    Fișier „/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py”, linia 22
    print "Testele unitare au eșuat!"
    ^
    SyntaxError: paranteze lipsă în apelul pentru „tipărire”

    Răspunde lui Jimmy Olano
    1.    Damian Amoedo el a spus
      hace Ani 7

      Cred că BeautifulSoup poate fi instalat folosind sudo apt install python-bs4. Sper că vă rezolvă problema. Salu2.

      Răspunde lui Damian Amoedo