Шпагети, скенирајте сигурност својих веб апликација

У следећем чланку ћемо погледати Шпагете. Ово је апликација отвореног кода. Развијен је у Питхон-у и омогућиће нам скенирање веб апликација у потрази за рањивостима како би их исправили. Апликација је дизајнирана за проналажење различитих задатих или несигурних датотека, као и за откривање погрешних конфигурација.

Данас сваки корисник са минималним знањем може да креира веб апликације, зато се свакодневно креира на хиљаде веб апликација. Проблем је што су многи од њих створени без праћења основних сигурносних линија. Да не бисмо оставили врата отворена, овај програм можемо користити за анализу да ли су наше веб апликације на високом или барем прихватљивом нивоу заштите. Шпагети су врло занимљив и лак за употребу скенер рањивости.

Опште карактеристике шпагета 0.1.0

Како је развијен у питон овај алат ће бити у могућности да се изврши у било ком оперативном систему чине га компатибилним са верзијом питхон 2.7.

Програм садржи моћан "Отисак прстију”То ће нам омогућити да прикупљамо информације из веб апликације. Између свих информације које можете прикупити Ова апликација истиче информације повезане са сервером, оквиром који се користи за развој (ЦакеПХП, ЦхерриПи, Дјанго, ...), обавестиће нас ако садржи активни заштитни зид (Цлоудфларе, АВС, Баррацуда, ...), ако развијен је помоћу цмс-а (Друпал, Јоомла, Вордпресс, итд.), оперативног система у којем апликација ради и програмског језика који се користи.

Информације такође можемо добити из административног панела веб апликације, задњих врата (ако их има) и многих других ствари. Поред тога, овај програм је опремљен неким низом корисних функционалности. Све ово можемо извршити са терминала и на једноставан начин.

Рад овог програма за терминал, генерално, био је следећи. Сваки пут када покренемо алат једноставно ћемо морати да изаберемо УРЛ веб апликације коју желимо да анализирамо. Такође ћемо морати да унесемо параметре који одговарају функционалности коју желимо да применимо. Тада ће алат бити задужен за израду одговарајуће анализе и приказаће добијене резултате.

Коду апликације и њеним карактеристикама можемо приступити са странице Гитхуб пројекта. Услужни програм је прилично моћан и лак за употребу. Такође се мора рећи да има врло активног програмера, који је специјализован за алате повезане са рачунарском сигурношћу. Дакле, претпостављам да је следеће ажурирање питање времена.

Инсталирајте Спагхетти 0.1.0

У овом чланку ћемо инсталирати на Убунту 16.04, али шпагети се могу инсталирати у било коју дистрибуцију. Једноставно морамо имају инсталиран питхон 2.7 (најмање) и покрените следеће команде:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Када се инсталација заврши, алатку можемо користити у свим веб апликацијама које желимо да скенирамо.

Користите шпагете

Важно је напоменути да је најбоља употреба овог алата проналажење отворених сигурносних празнина у нашим веб апликацијама. Помоћу програма, након проналаска сигурносних недостатака, требало би да нам буде лако да их решимо (ако смо програмери). На овај начин можемо учинити наше апликације сигурнијим.

Да бисмо користили овај програм, као што сам већ рекао, са терминала (Цтрл + Алт + Т) мораћемо да напишемо нешто попут следећег:

python spaghetti.py -u “objetivo” -s [0-3]

или такође можемо користити:

python spaghetti.py --url “objetivo” --scan [0-3]

Тамо где прочитате „циљ“, мораћете да поставите УРЛ за анализу. Са опцијама -уо –урл које се односе на циљ скенирања, -со –сцан ће нам пружити различите могућности од 0 до 3. Детаљније значење можете проверити из помоћи програма.

Ако желимо да знамо које нам опције он ставља на располагање, можемо искористити помоћ коју ће нам она приказати на екрану.

Било би глупо не открити да би други корисници могли искористити ову алатку да покушају да приступе веб апликацијама које нису у њиховом власништву. Ово ће зависити од етике сваког корисника.