Špagety, skenujte zabezpečenie svojich webových aplikácií

V nasledujúcom článku sa pozrieme na špagety. Toto je open source aplikácia. Bol vyvinutý v jazykoch Python a umožní nám to skenovať webové aplikácie a hľadať zraniteľné miesta za účelom ich opravy. Aplikácia je navrhnutá na vyhľadanie rôznych predvolených alebo nezabezpečených súborov, ako aj na zisťovanie nesprávnych konfigurácií.

V súčasnosti môže každý používateľ s minimálnymi znalosťami vytvárať webové aplikácie, preto sa denne vytvárajú tisíce webových aplikácií. Problém je v tom, že veľa z nich je vytvorených bez sledovania základných bezpečnostných línií. Aby sme zabránili tomu, že necháme dvere otvorené, môžeme pomocou tohto programu analyzovať, či sú naše webové aplikácie na vysokej alebo prinajmenšom prijateľnej úrovni zabezpečenia. Špagety sú veľmi zaujímavý a ľahko použiteľný skener zraniteľností.

Všeobecná charakteristika špagiet 0.1.0

Ako bol vyvinutý v roku XNUMX krajta tento nástroj bude byť schopný bežať na akomkoľvek operačnom systéme aby bol kompatibilný s pythonom verzie 2.7.

Program obsahuje silný „odtlačkov prstov„To nám umožní zhromažďovať informácie z webovej aplikácie. Medzi všetkými informácie, ktoré môžete zhromaždiť Táto aplikácia zvýrazňuje informácie týkajúce sa servera, rámca používaného pre vývoj (CakePHP, CherryPy, Django, ...), upozorní nás, ak obsahuje aktívny firewall (Cloudflare, AWS, Barracuda, ...), ak bol vyvinutý pomocou cms (Drupal, Joomla, Wordpress atď.), operačného systému, v ktorom je aplikácia spustená, a použitého programovacieho jazyka.

Informácie môžeme tiež získať z administračného panela webovej aplikácie, zadných vrátok (ak existujú) a mnohých ďalších vecí. Ďalej je tento program vybavený niekoľkými radami užitočných funkcií. To všetko môžeme vykonať z terminálu a jednoduchým spôsobom.

Činnosť tohto programu pre terminál bola vo všeobecnosti nasledovná. Zakaždým, keď nástroj spustíme, budeme musieť zvoliť adresu URL webovej aplikácie, ktorú chceme analyzovať. Budeme tiež musieť zadať parametre zodpovedajúce funkčnosti, ktorú chceme použiť. Potom bude nástroj zodpovedný za vykonanie zodpovedajúcej analýzy a bude zobrazovať dosiahnuté výsledky.

K kódu aplikácie a jej vlastnostiam môžeme pristupovať zo stránky GitHub projektu. Tento nástroj je pomerne výkonný a ľahko použiteľný. Je tiež potrebné povedať, že má veľmi aktívneho vývojára, ktorý sa špecializuje na nástroje súvisiace s počítačovou bezpečnosťou. Takže predpokladám, že ďalšia aktualizácia je otázkou času.

Nainštalujte si špagety 0.1.0

V tomto článku sa chystáme nainštalovať na Ubuntu 16.04, ale špagety je možné nainštalovať do akejkoľvek distribúcie. Jednoducho musíme mať nainštalovaný python 2.7 (minimálne) a spustite nasledujúce príkazy:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Po dokončení inštalácie môžeme nástroj použiť vo všetkých webových aplikáciách, ktoré chceme skenovať.

Použite špagety

Je dôležité poznamenať, že najlepším použitím tohto nástroja je nájdenie otvorených bezpečnostných medzier v našich webových aplikáciách. S týmto programom by malo byť po nájdení bezpečnostných chýb ľahké ich vyriešiť (ak sme vývojári). Týmto spôsobom môžeme zvýšiť bezpečnosť našich aplikácií.

Aby sme tento program mohli používať, ako som už povedal, z terminálu (Ctrl + Alt + T) budeme musieť napísať niečo ako nasledovné:

python spaghetti.py -u “objetivo” -s [0-3]

alebo môžeme tiež použiť:

python spaghetti.py --url “objetivo” --scan [0-3]

Tam, kde si prečítate „objektívny“, budete musieť umiestniť URL na analýzu. Vďaka voľbám -uo –url, ktoré sa vzťahujú na cieľ skenovania, nám -so –scan poskytne rôzne možnosti od 0 do 3. Podrobnejší význam môžete skontrolovať v pomocníkovi programu.

Ak chceme vedieť, aké možnosti nám dáva k dispozícii, môžeme využiť pomoc, ktorú nám zobrazí na obrazovke.

Bolo by hlúpe nezistiť, že ostatní používatelia by mohli využiť tento nástroj na pokus o prístup k webovým aplikáciám, ktoré nevlastnia. To bude závisieť od etiky každého používateľa.