Spageti, skanoni sigurinë e aplikacioneve tuaja në Internet

Damián A.

Minuta 4

logo spageti analizues në internet

Në artikullin vijues do të hedhim një vështrim në Spageti. Ky është një aplikacion me burim të hapur. Hasshtë zhvilluar në Python dhe kjo do të na lejojë të skanojmë aplikacione në internet në kërkim të dobësive me qëllim të korrigjimit të tyre. Aplikacioni është krijuar për të gjetur skedarë të ndryshëm të parazgjedhur ose të pasigurt, si dhe për të zbuluar konfigurimin e gabuar.

Sot, çdo përdorues me njohuri minimale mund të krijojë aplikacione në internet, prandaj krijohen mijëra aplikacione në internet çdo ditë. Problemi është se shumë prej tyre janë krijuar pa ndjekur linjat themelore të sigurisë. Për të shmangur lënien e dyerve të hapura, ne mund ta përdorim këtë program për të analizuar që aplikacionet tona në internet janë në një nivel të lartë sigurie ose të paktën të pranueshëm. Spageti është një skaner i ndjeshmërisë shumë interesant dhe i lehtë për t’u përdorur.

Karakteristikat e përgjithshme të Spagetit 0.1.0

Siç është zhvilluar në piton ky mjet do të jetë në gjendje të ekzekutohet në çdo sistem operativ e bëjnë atë të përputhshëm me versionin python 2.7.

Programi përmban një të fuqishëm "gjurmët e gishtrinjve”Kjo do të na lejojë të mbledhim informacione nga një aplikacion në internet. Midis të gjithëve informacionin që mund të mblidhni Ky aplikacion thekson informacionin në lidhje me serverin, kornizën e përdorur për zhvillim (CakePHP, CherryPy, Django, ...), do të na njoftojë nëse përmban një firewall aktiv (Cloudflare, AWS, Barracuda, ...), nëse është zhvilluar duke përdorur cms (Drupal, Joomla, Wordpress, etj.), sistemin operativ në të cilin zbatohet aplikacioni dhe gjuhën e programimit të përdorur.

rezultati i analizës së spagetit

Ne gjithashtu mund të marrim informacion nga paneli i administrimit të aplikacionit në internet, dyert e pasme (nëse ka ndonjë) dhe shumë gjëra të tjera. Për më tepër, ky program vjen i pajisur me disa seri të funksionaliteteve të dobishme. E gjithë kjo mund të kryejmë nga terminali dhe në një mënyrë të thjeshtë.

Funksionimi i këtij programi për terminalin, në përgjithësi, ka qenë si më poshtë. Sa herë që përdorim mjetin, thjesht do të duhet të zgjedhim URL-në e aplikacionit në internet që duam të analizojmë. Ne gjithashtu do të duhet të fusim parametrat që korrespondojnë me funksionalitetin që duam të aplikojmë. Atëherë mjeti do të jetë përgjegjës për të bërë analizën përkatëse dhe do të tregojë rezultatet e fituara.

Ne mund të përdorim kodin e aplikimit dhe karakteristikat e tij nga faqja e Github të projektit. Shërbimi është mjaft i fuqishëm dhe i lehtë për t'u përdorur. Duhet thënë gjithashtu se ka një zhvillues shumë aktiv, i cili specializohet në mjete që lidhen me sigurinë e kompjuterit. Kështu që mendoj se një azhurnim tjetër është çështje kohe.

Instaloni Spageti 0.1.0

Në këtë artikull ne do të instalojmë në Ubuntu 16.04, por Spageti mund të instalohet në çdo shpërndarje. Thjesht duhet kanë të instaluar python 2.7 (në minimum) dhe ekzekutoni komandat e mëposhtme:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Pasi të ketë mbaruar instalimi, ne mund ta përdorim mjetin në të gjitha aplikacionet në internet që duam të skanojmë.

Përdorni Spageti

Importantshtë e rëndësishme të theksohet se përdorimi më i mirë që mund t'i bëjmë këtij mjeti është gjetja e boshllëqeve të hapura të sigurisë në aplikacionet tona në internet. Me programin, pasi të kemi gjetur defektet e sigurisë, duhet të jetë e lehtë për ne t'i zgjidhim ato (nëse jemi zhvilluesit). Në këtë mënyrë ne mund t'i bëjmë aplikacionet tona më të sigurta.

Për të përdorur këtë program, siç kam thënë më parë, nga terminali (Ctrl + Alt + T) do të duhet të shkruajmë diçka si më poshtë:

python spaghetti.py -u “objetivo” -s [0-3]

ose mund të përdorim gjithashtu:

python spaghetti.py --url “objetivo” --scan [0-3]

Aty ku lexoni "objektiv" do të duhet të vendosni URL-në për ta analizuar. Me opsionet -uo –url i referohet synimit të skanimit, -so –scan do të na japë mundësi të ndryshme nga 0 në 3. Ju mund të kontrolloni kuptimin më të hollësishëm nga ndihma e programit.

Nëse duam të dimë se cilat opsione na mundëson, mund të përdorim ndihmën që do të na tregojë në ekran.

Do të ishte marrëzi të mos zbulohet se përdoruesit e tjerë mund të përfitojnë nga ky mjet në përpjekje për të hyrë në aplikacione në internet që nuk i zotërojnë. Kjo do të varet nga etika e secilit përdorues.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   Jimmy olano dijo
    më parë Vjet 7

    Sado e pabesueshme mund të duket, instalimi më dështon kur dua të instaloj "Supën e bukur", nuk e mbështet aspak Python3 dhe për shkak të marrëzive të titrave në "shtyp" ata duhet të kishin përdorur "import nga __future___" :

    Mbledhja e Supës së Bukur
    Shkarkimi i BeautifulSoup-3.2.1.tar.gz
    Dalje e plotë nga komanda e python setup.py egg_info:
    Gjurmimi (thirrja më e fundit e fundit):
    Dosja «», rreshti 1, në
    Skedari "/tmp/pip-build-hgiw5x3b/Be BeautifulSoup/setup.py", rreshti 22
    print "Testet e njësisë kanë dështuar!"
    ^
    SyntaxError: Mungojnë kllapat në thirrje për të 'shtypur'

    Përgjigju Jimmy Olano
    1.    Damian Amoedo dijo
      më parë Vjet 7

      Unë mendoj se BeautifulSoup mund të instalohet nga sudo apt install python-bs4. Shpresoj se zgjidh problemin tuaj. Salu2

      Përgjigju Damian Amoedo