Spagetti, Web uygulamalarınızın güvenliğini tarayın

Bir sonraki yazıda Spagetti'ye bir göz atacağız. Bu açık kaynak kodlu bir uygulamadır. Python'da geliştirilmiştir ve güvenlik açıklarını aramak için web uygulamalarını taramamıza izin verecek onları düzeltmek için. Uygulama, çeşitli varsayılan veya güvenli olmayan dosyaları bulmanın yanı sıra yanlış yapılandırmaları tespit etmek için tasarlanmıştır.

Bugün, minimum bilgiye sahip herhangi bir kullanıcı web uygulamaları oluşturabilir, bu nedenle her gün binlerce web uygulaması oluşturulmaktadır. Sorun, birçoğunun temel güvenlik hatlarını takip etmeden yaratılmasıdır. Kapıları açık bırakmaktan kaçınmak için, bu programı web uygulamalarımızın yüksek veya en azından kabul edilebilir bir güvenlik seviyesinde olduğunu analiz etmek için kullanabiliriz. Spagetti, çok ilginç ve kullanımı kolay bir güvenlik açığı tarayıcısıdır.

Spagetti'nin genel özellikleri 0.1.0

Geliştirildiği gibi piton bu araç herhangi bir işletim sisteminde çalışabilme python 2.7 sürümüyle uyumlu hale getirin.

Program güçlü bir "Parmak İzi"Bu, bir web uygulamasından bilgi toplamamıza izin verecektir. Hepsinin arasında toplayabileceğiniz bilgiler Bu uygulama, sunucu, geliştirme için kullanılan çerçeve (CakePHP, CherryPy, Django, ...) ile ilgili bilgileri vurgular, eğer aktif bir güvenlik duvarı içeriyorsa (Cloudflare, AWS, Barracuda, ...), eğer bir cms (Drupal, Joomla, Wordpress, vb.), uygulamanın çalıştığı işletim sistemi ve kullanılan programlama dili kullanılarak geliştirilmiştir.

Web uygulamasının yönetim panelinden, arka kapılardan (varsa) ve daha birçok şeyden de bilgi edinebiliriz. Ayrıca, bu program bazı kullanışlı işlevlerle donatılmış olarak gelir. Tüm bunları gerçekleştirebiliriz terminalden ve basit bir şekilde.

Bu programın terminal için işleyişi genel olarak şu şekilde olmuştur. Aracı her çalıştırdığımızda, analiz etmek istediğimiz web uygulamasının URL'sini seçmemiz yeterli olacaktır. Ayrıca uygulamak istediğimiz işlevselliğe karşılık gelen parametreleri de girmemiz gerekecek. Daha sonra araç, ilgili analizi yapmaktan sorumlu olacak ve elde edilen sonuçları gösterecektir.

Uygulama koduna ve özelliklerine şu sayfadan erişebiliriz: Github projenin. Yardımcı program oldukça güçlü ve kullanımı kolaydır. Bilgisayar güvenliği ile ilgili araçlarda uzmanlaşmış çok aktif bir geliştiricisine sahip olduğu da söylenmelidir. Bu yüzden bir sonraki güncelleme an meselesi sanırım.

Spagetti 0.1.0'ı yükleyin

Bu yazımızda Ubuntu 16.04 üzerine kuracağız, ancak Spaghetti herhangi bir dağıtımda kurulabilir. Biz sadece yapmalıyız python 2.7 kurulu (en azından) ve aşağıdaki komutları çalıştırın:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Kurulum bittiğinde aracı, taramak istediğimiz tüm web uygulamalarında kullanabiliriz.

Spagetti kullan

Bu araçtan yapabileceğimiz en iyi kullanımın web uygulamalarımızda açık güvenlik açıkları bulmak olduğunu unutmamak önemlidir. Program ile güvenlik açıklarını bulduktan sonra bunları çözmemiz kolay olmalı (eğer geliştiriciler isek). Bu şekilde uygulamalarımızı daha güvenli hale getirebiliriz.

Bu programı daha önce söylediğim gibi kullanmak için terminalden (Ctrl + Alt + T) aşağıdaki gibi bir şey yazmamız gerekecek:

python spaghetti.py -u “objetivo” -s [0-3]

veya biz de kullanabiliriz:

python spaghetti.py --url “objetivo” --scan [0-3]

"Hedefi" okuduğunuz yere, analiz etmek için URL'yi yerleştirmelisiniz. -Uo –url seçenekleriyle, tarama hedefini ifade eder, -so –scan bize 0'dan 3'e kadar farklı olasılıklar verir. Programın yardımıyla daha ayrıntılı anlamı kontrol edebilirsiniz.

Bize hangi seçenekleri sunduğunu bilmek istiyorsak, ekranda bize göstereceği yardımı kullanabiliriz.

Diğer kullanıcıların, sahip olmadıkları web uygulamalarına erişmek için bu araçtan yararlanabileceklerini bulmamak aptallık olur. Bu, her kullanıcının etik kurallarına bağlı olacaktır.