Спагетти, проверьте безопасность своих веб-приложений

Damián A.

4 минут

веб-анализатор спагетти с логотипом

В следующей статье мы рассмотрим спагетти. Это приложение с открытым исходным кодом. Он был разработан на Python и это позволит нам сканировать веб-приложения в поисках уязвимостей чтобы исправить их. Приложение предназначено для поиска различных файлов по умолчанию или небезопасных файлов, а также для обнаружения неправильных конфигураций.

Сегодня любой пользователь с минимальными знаниями может создавать веб-приложения, поэтому ежедневно создаются тысячи веб-приложений. Проблема в том, что многие из них создаются без соблюдения основных линий безопасности. Чтобы не оставлять двери открытыми, мы можем использовать эту программу для анализа того, что наши веб-приложения находятся на высоком или, по крайней мере, приемлемом уровне безопасности. Spaghetti - очень интересный и простой в использовании сканер уязвимостей.

Общие характеристики Spaghetti 0.1.0

Поскольку это было разработано в питон этот инструмент будет уметь работать в любой операционной системе сделать его совместимым с python версии 2.7.

Программа содержит мощный "Дактилоскопия«Это позволит нам собирать информацию из веб-приложения. Между всеми информация, которую вы можете собрать Это приложение выделяет информацию, относящуюся к серверу, используемому для разработки фреймворку (CakePHP, CherryPy, Django, ...), оно уведомит нас, если он содержит активный брандмауэр (Cloudflare, AWS, Barracuda, ...), если он был разработан с использованием cms (Drupal, Joomla, Wordpress и т. д.), операционной системы, в которой работает приложение, и используемого языка программирования.

результат анализа спагетти

Также мы можем получить информацию из панели администрирования веб-приложения, задних дверей (если они есть) и многое другое. Кроме того, эта программа обладает рядом полезных функций. Все это мы можем осуществить с терминала и простым способом.

Работа этой программы для терминала в целом заключалась в следующем. Каждый раз, когда мы запускаем инструмент, нам просто нужно будет выбрать URL-адрес веб-приложения, которое мы хотим проанализировать. Нам также нужно будет ввести параметры, соответствующие той функциональности, которую мы хотим применить. Затем инструмент сделает соответствующий анализ и покажет полученные результаты.

Мы можем получить доступ к коду приложения и его характеристикам со страницы Github проекта. Утилита довольно мощная и простая в использовании. Также нужно сказать, что у него очень активный разработчик, который специализируется на инструментах, связанных с компьютерной безопасностью. Так что, думаю, следующее обновление - вопрос времени.

Установите Spaghetti 0.1.0

В этой статье мы собираемся установить Ubuntu 16.04, но Spaghetti можно установить в любом дистрибутиве. Мы просто должны у вас установлен python 2.7 (как минимум) и выполните следующие команды:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

После завершения установки мы можем использовать этот инструмент во всех веб-приложениях, которые мы хотим сканировать.

Использовать спагетти

Важно отметить, что лучшее, что мы можем использовать с этим инструментом, - это обнаруживать открытые бреши в безопасности наших веб-приложений. В программе после обнаружения недостатков безопасности нам должно быть легко их исправить (если мы являемся разработчиками). Таким образом мы можем сделать наши приложения более безопасными.

Чтобы использовать эту программу, как я уже сказал, из терминала (Ctrl + Alt + T) нам нужно будет написать что-то вроде следующего:

python spaghetti.py -u “objetivo” -s [0-3]

или мы также можем использовать:

python spaghetti.py --url “objetivo” --scan [0-3]

Там, где вы читаете «объективный», вам нужно будет разместить URL-адрес для анализа. С параметрами -uo –url он ссылается на цель сканирования, -so –scan предоставит нам различные возможности от 0 до 3. Вы можете проверить более подробное значение в справке программы.

Если мы хотим знать, какие опции он предоставляет нам, мы можем воспользоваться справкой, которую он покажет нам на экране.

Было бы глупо не обнаружить, что другие пользователи могут воспользоваться этим инструментом, чтобы попытаться получить доступ к веб-приложениям, которыми они не владеют. Это будет зависеть от этики каждого пользователя.


Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Джимми Олано сказал
    тому назад 7 лет

    Каким бы невероятным это ни казалось, установка терпит неудачу, когда я хочу установить "Beautiful soup", он вообще не поддерживает Python3, и из-за бессмыслицы подписей в "print" они должны были использовать "import from __future___" :

    Сбор BeautifulSoup
    Скачивание BeautifulSoup-3.2.1.tar.gz
    Полный вывод команды python setup.py egg_info:
    Traceback (последний последний вызов):
    Файл «», строка 1, в
    Файл "/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py", строка 22
    print "Модульные тесты не прошли!"
    ^
    SyntaxError: отсутствуют круглые скобки при вызове функции print

    Ответ Джимми Олано
    1.    Дамиан Амоэдо сказал
      тому назад 7 лет

      Я думаю, что BeautifulSoup можно установить с помощью sudo apt install python-bs4. Надеюсь, это решит вашу проблему. Salu2.

      Ответ Дамиану Амоэдо