Sa susunod na artikulo ay titingnan natin ang Spaghetti. Ito ay isang bukas na application ng mapagkukunan. Ito ay binuo sa Python at papayagan kaming mag-scan ng mga web application sa paghahanap ng mga kahinaan upang maitama ang mga ito. Ang application ay idinisenyo upang makahanap ng iba't ibang mga default o hindi secure na mga file, pati na rin upang makita ang mga maling pagsasaayos.
Ngayon, ang sinumang gumagamit na may kaunting kaalaman ay maaaring lumikha ng mga web application, kaya't libu-libong mga web application ang nilikha araw-araw. Ang problema ay ang marami sa kanila ay nilikha nang hindi sumusunod sa pangunahing mga linya ng seguridad. Upang maiwasan na buksan ang mga pinto, maaari naming gamitin ang program na ito upang pag-aralan na ang aming mga web application ay nasa mataas o hindi bababa sa katanggap-tanggap na antas ng seguridad. Ang Spaghetti ay isang napaka-kagiliw-giliw at madaling gamitin na scanner ng kahinaan.
Pangkalahatang katangian ng Spaghetti 0.1.0
Tulad ng pagbuo nito sa python ang tool na ito ay maipatupad sa anumang operating system gawin itong katugma sa python bersyon 2.7.
Naglalaman ang programa ng isang malakas na “Fingerprinting”Papayagan kaming mangolekta ng impormasyon mula sa isang web application. Sa pagitan ng lahat ang impormasyon na maaari mong kolektahin Itinatampok ng application na ito ang impormasyong nauugnay sa server, ang balangkas na ginamit para sa pagpapaunlad (CakePHP, CherryPy, Django, ...), aabisuhan kami kung naglalaman ito ng isang aktibong firewall (Cloudflare, AWS, Barracuda, ...), kung ito ay binuo gamit ang isang cms (Drupal, Joomla, Wordpress, atbp.), ang operating system kung saan tumatakbo ang application at ginagamit ang wika ng programa.
Maaari rin kaming makakuha ng impormasyon mula sa panel ng pangangasiwa ng web application, mga pintuan sa likod (kung mayroon man) at maraming iba pang mga bagay. Bukod dito, ang program na ito ay nilagyan ng ilang serye ng mga kapaki-pakinabang na pag-andar. Ang lahat ng ito ay maaari nating isagawa mula sa terminal at sa isang simpleng paraan.
Ang pagpapatakbo ng program na ito para sa terminal, sa pangkalahatan, ay ang sumusunod. Sa tuwing tatakbo namin ang tool ay simpleng pipiliin namin ang URL ng web application na nais naming pag-aralan. Kakailanganin din naming ipasok ang mga parameter na naaayon sa pag-andar na nais naming ilapat. Pagkatapos ang tool ay magiging singil ng paggawa ng kaukulang pagtatasa at ipapakita ang mga resulta na nakuha.
Maaari naming ma-access ang application code at ang mga katangian nito mula sa pahina ng Github ng proyekto. Ang utility ay medyo malakas at madaling gamitin. Dapat ding sabihin na mayroon itong isang napaka-aktibong developer, na dalubhasa sa mga tool na nauugnay sa seguridad ng computer. Kaya't hulaan ko ang susunod na pag-update ay isang oras.
I-install ang Spaghetti 0.1.0
Sa artikulong ito mag-i-install kami sa Ubuntu 16.04, ngunit ang Spaghetti ay maaaring mai-install sa anumang pamamahagi. Kailangan lang namin may naka-install na sawa 2.7 (sa isang minimum) at patakbuhin ang mga sumusunod na utos:
git clone https://github.com/m4ll0k/Spaghetti.git cd Spaghetti pip install -r doc/requirements.txt python spaghetti.py -h
Kapag natapos na ang pag-install, maaari naming gamitin ang tool sa lahat ng mga web application na nais naming i-scan.
Gumamit ng Spaghetti
Mahalagang tandaan na ang pinakamahusay na magagamit na magagamit namin sa tool na ito ay upang makahanap ng bukas na mga puwang sa seguridad sa aming mga web application. Sa programa, pagkatapos hanapin ang mga bahid sa seguridad, dapat madali para sa amin na malutas ang mga ito (kung tayo ang mga developer). Sa ganitong paraan maaari naming gawing mas ligtas ang aming mga application.
Upang magamit ang program na ito, tulad ng sinabi ko dati, mula sa terminal (Ctrl + Alt + T) magsusulat kami ng isang bagay tulad ng sumusunod:
python spaghetti.py -u “objetivo” -s [0-3]
o maaari din naming gamitin ang:
python spaghetti.py --url “objetivo” --scan [0-3]
Kung saan mo basahin ang "layunin" ay ilalagay mo ang URL upang suriin. Sa mga pagpipilian na -uo –url na tumutukoy ito sa target ng pag-scan, ang -so –scan ay magbibigay sa amin ng iba't ibang mga posibilidad mula 0 hanggang 3. Maaari mong suriin ang mas detalyadong kahulugan mula sa tulong ng programa.
Kung nais naming malaman kung anong mga pagpipilian ang magagamit nito sa amin, maaari naming magamit ang tulong na ipapakita nito sa amin sa screen.
Nakakaloko na hindi makita na ang ibang mga gumagamit ay maaaring samantalahin ang tool na ito upang subukang mag-access sa mga web application na hindi nila pag-aari. Ito ay depende sa etika ng bawat gumagamit.
Tulad ng hindi kapani-paniwala na tila, nabigo ako sa pag-install kapag nais kong mai-install ang "Magagandang sopas", hindi talaga ito sumusuporta sa Python3 at dahil sa kalokohan ng mga caption sa "print" dapat ay ginamit nila ang "pag-import mula sa __future___" :
Pagkolekta ng BeautifulSoup
Pagda-download ng BeautifulSoup-3.2.1.tar.gz
Kumpletuhin ang output mula sa command python setup.py egg_info:
Traceback (pinakahuling huling tawag):
File «», linya 1, sa
I-file ang "/tmp/pip- build-hgiw5x3b/BeautifulSoup/setup.py", linya 22
print "Nabigo ang mga pagsubok sa unit!"
^
SyntaxError: Nawawala ang mga panaklong sa tawag na 'i-print'
Sa palagay ko ang BeautifulSoup ay maaaring mai-install ng sudo apt install python-bs4. Sana malutas nito ang iyong problema. Salu2.