ในบทความหน้าเราจะมาดู Spaghetti นี่คือแอปพลิเคชันโอเพนซอร์ส ได้รับการพัฒนาใน Python และ จะช่วยให้เราสามารถสแกนเว็บแอปพลิเคชันเพื่อค้นหาช่องโหว่ เพื่อแก้ไขให้ถูกต้อง แอปพลิเคชันได้รับการออกแบบมาเพื่อค้นหาไฟล์เริ่มต้นหรือไฟล์ที่ไม่ปลอดภัยต่างๆตลอดจนตรวจจับการกำหนดค่าที่ไม่ถูกต้อง
ทุกวันนี้ผู้ใช้ที่มีความรู้เพียงเล็กน้อยก็สามารถสร้างเว็บแอปพลิเคชันได้นั่นคือเหตุผลที่มีการสร้างเว็บแอปพลิเคชันหลายพันรายการทุกวัน ปัญหาคือจำนวนมากถูกสร้างขึ้นโดยไม่ปฏิบัติตามสายการรักษาความปลอดภัยขั้นพื้นฐาน เพื่อหลีกเลี่ยงการเปิดประตูทิ้งไว้เราสามารถใช้โปรแกรมนี้เพื่อวิเคราะห์ว่าเว็บแอปพลิเคชันของเรามีระดับความปลอดภัยสูงหรืออย่างน้อยก็ยอมรับได้ Spaghetti เป็นเครื่องสแกนช่องโหว่ที่น่าสนใจและใช้งานง่าย.
ลักษณะทั่วไปของ Spaghetti 0.1.0
ตามที่ได้รับการพัฒนาใน หลาม เครื่องมือนี้จะ สามารถทำงานบนระบบปฏิบัติการใดก็ได้ ทำให้เข้ากันได้กับ python เวอร์ชัน 2.7
โปรแกรมประกอบด้วย "พิมพ์ลายนิ้วมือ” ซึ่งจะช่วยให้เราสามารถรวบรวมข้อมูลจากเว็บแอปพลิเคชัน ระหว่างทั้งหมด ข้อมูลที่คุณสามารถรวบรวมได้ แอปพลิเคชั่นนี้เน้นข้อมูลที่เกี่ยวข้องกับเซิร์ฟเวอร์เฟรมเวิร์กที่ใช้ในการพัฒนา (CakePHP, CherryPy, Django, ... ) จะแจ้งให้เราทราบหากมีไฟร์วอลล์ที่ใช้งานอยู่ (Cloudflare, AWS, Barracuda, ... ) ได้รับการพัฒนาโดยใช้ cms (Drupal, Joomla, Wordpress ฯลฯ ) ระบบปฏิบัติการที่แอปพลิเคชันทำงานและภาษาโปรแกรมที่ใช้
นอกจากนี้เรายังสามารถรับข้อมูลได้จากแผงการดูแลระบบของเว็บแอปพลิเคชันประตูหลัง (ถ้ามี) และสิ่งอื่น ๆ อีกมากมาย นอกจากนี้โปรแกรมนี้ยังมาพร้อมกับฟังก์ชันที่มีประโยชน์บางอย่าง ทั้งหมดนี้เราสามารถทำได้ จากเทอร์มินัลและด้วยวิธีง่ายๆ.
โดยทั่วไปการทำงานของโปรแกรมนี้สำหรับเทอร์มินัลมีดังต่อไปนี้ ทุกครั้งที่เราเรียกใช้เครื่องมือเราจะต้องเลือก URL ของเว็บแอปพลิเคชันที่เราต้องการวิเคราะห์ นอกจากนี้เรายังจะต้องป้อนพารามิเตอร์ที่สอดคล้องกับฟังก์ชันการทำงานที่เราต้องการใช้ จากนั้นเครื่องมือจะรับผิดชอบในการวิเคราะห์ที่สอดคล้องกันและจะแสดงผลลัพธ์ที่ได้รับ
เราสามารถเข้าถึงรหัสแอปพลิเคชันและลักษณะของมันได้จากหน้าของ Github ของโครงการ ยูทิลิตี้นี้ค่อนข้างมีประสิทธิภาพและใช้งานง่าย ต้องบอกด้วยว่ามีนักพัฒนาที่กระตือรือร้นมากซึ่งเชี่ยวชาญในเครื่องมือที่เกี่ยวข้องกับความปลอดภัยของคอมพิวเตอร์ ดังนั้นฉันเดาว่าการอัปเดตครั้งต่อไปเป็นเรื่องของเวลา
ติดตั้ง Spaghetti 0.1.0
ในบทความนี้เราจะติดตั้งบน Ubuntu 16.04 แต่สามารถติดตั้ง Spaghetti ในการแจกจ่ายใดก็ได้ เราต้องทำ มีการติดตั้ง python 2.7 (อย่างน้อยที่สุด) และรันคำสั่งต่อไปนี้:
git clone https://github.com/m4ll0k/Spaghetti.git cd Spaghetti pip install -r doc/requirements.txt python spaghetti.py -h
เมื่อติดตั้งเสร็จแล้วเราสามารถใช้เครื่องมือในเว็บแอปพลิเคชันทั้งหมดที่เราต้องการสแกนได้
ใช้สปาเกตตี
สิ่งสำคัญคือต้องทราบว่าการใช้เครื่องมือนี้ให้ดีที่สุดคือการค้นหาช่องว่างด้านความปลอดภัยที่เปิดอยู่ในเว็บแอปพลิเคชันของเรา ด้วยโปรแกรมหลังจากพบข้อบกพร่องด้านความปลอดภัยแล้วเราควรแก้ไขข้อบกพร่องนั้นได้ง่าย (หากเราเป็นผู้พัฒนา) วิธีนี้ทำให้แอปพลิเคชันของเราปลอดภัยมากขึ้น
ในการใช้โปรแกรมนี้ดังที่ฉันได้กล่าวไปก่อนหน้านี้จากเทอร์มินัล (Ctrl + Alt + T) เราจะต้องเขียนสิ่งต่อไปนี้:
python spaghetti.py -u “objetivo” -s [0-3]
หรือเราสามารถใช้:
python spaghetti.py --url “objetivo” --scan [0-3]
เมื่อคุณอ่าน "วัตถุประสงค์" คุณจะต้องวาง URL เพื่อวิเคราะห์ ด้วยตัวเลือก -uo –url หมายถึงเป้าหมายการสแกน -so -scan จะให้ความเป็นไปได้ที่แตกต่างกันตั้งแต่ 0 ถึง 3 คุณสามารถตรวจสอบความหมายโดยละเอียดเพิ่มเติมได้จากความช่วยเหลือของโปรแกรม
หากเราต้องการทราบว่ามีตัวเลือกอะไรให้เราบ้างเราสามารถใช้ความช่วยเหลือที่จะแสดงให้เราเห็นบนหน้าจอ
คงเป็นเรื่องโง่หากพบว่าผู้ใช้รายอื่นสามารถใช้ประโยชน์จากเครื่องมือนี้เพื่อพยายามเข้าถึงเว็บแอปพลิเคชันที่พวกเขาไม่ได้เป็นเจ้าของ ทั้งนี้จะขึ้นอยู่กับจรรยาบรรณของผู้ใช้แต่ละคน
อย่างที่น่าเหลือเชื่อการติดตั้งทำให้ฉันล้มเหลวเมื่อฉันต้องการติดตั้ง "ซุปสวย" มันไม่รองรับ Python3 เลยและเนื่องจากคำอธิบายภาพใน "พิมพ์" ไร้สาระพวกเขาจึงควรใช้ "import from __future___" :
รวบรวม BeautifulSoup
กำลังดาวน์โหลด BeautifulSoup-3.2.1.tar.gz
ผลลัพธ์ที่สมบูรณ์จากคำสั่ง python setup.py egg_info:
Traceback (โทรล่าสุดล่าสุด):
ไฟล์«»บรรทัดที่ 1 ใน
ไฟล์ "/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py" บรรทัดที่ 22
พิมพ์ "การทดสอบหน่วยล้มเหลว!"
^
SyntaxError: ไม่มีวงเล็บในการเรียก 'พิมพ์'
ฉันคิดว่า BeautifulSoup สามารถติดตั้งได้โดยใช้ sudo apt install python-bs4 หวังว่าจะช่วยแก้ปัญหาของคุณได้ Salu2.