Спагетті, проскануйте безпеку своїх веб-додатків

Damián A.

4 хвилин

веб-аналізатор спагетті з логотипом

У наступній статті ми збираємось поглянути на спагетті. Це програма з відкритим кодом. Він був розроблений в Python та це дозволить нам сканувати веб-програми у пошуках уразливостей з метою їх виправлення. Додаток призначений для пошуку різних за замовчуванням або небезпечних файлів, а також для виявлення помилкових конфігурацій.

Сьогодні будь-який користувач з мінімальними знаннями може створювати веб-програми, тому щодня створюються тисячі веб-програм. Проблема полягає в тому, що багато з них створюються без дотримання основних ліній безпеки. Щоб не залишати двері відкритими, ми можемо використовувати цю програму для аналізу того, що наші веб-програми знаходяться на високому або принаймні прийнятному рівні безпеки. Спагетті - це дуже цікавий і простий у використанні сканер вразливостей.

Загальна характеристика спагетті 0.1.0

Як це було розроблено в Росії пітон цей інструмент буде мати можливість працювати в будь-якій операційній системі зробити його сумісним з версією python 2.7.

Програма містить потужний "Дактилоскопія”Це дозволить нам збирати інформацію з веб-програми. Між усіма інформацію, яку ви можете зібрати Ця програма висвітлює інформацію, що стосується сервера, основу, що використовується для розробки (CakePHP, CherryPy, Django, ...), вона повідомить нас, якщо вона містить активний брандмауер (Cloudflare, AWS, Barracuda, ...), якщо він розроблений із використанням cms (Drupal, Joomla, Wordpress та ін.), операційної системи, в якій працює додаток, та використовуваної мови програмування.

результат аналізу спагетті

Ми також можемо отримати інформацію з адміністративної панелі веб-програми, задні двері (якщо такі є) та багато іншого. Крім того, ця програма оснащена деяким рядом корисних функціональних можливостей. Все це ми можемо здійснити від терміналу і простим способом.

Робота цієї програми для терміналу, загалом, була наступною. Кожного разу, коли ми запускаємо інструмент, нам просто потрібно буде вибрати URL-адресу веб-програми, яку ми хочемо проаналізувати. Також нам доведеться ввести параметри, що відповідають функціоналу, який ми хочемо застосувати. Тоді інструмент буде відповідальним за проведення відповідного аналізу та покаже отримані результати.

Ми можемо отримати доступ до коду програми та її характеристик зі сторінки Github проекту. Утиліта досить потужна і проста у використанні. Слід також сказати, що у нього є дуже активний розробник, який спеціалізується на інструментах, пов’язаних з комп’ютерною безпекою. Тож я думаю, наступне оновлення - це питання часу.

Встановіть спагетті 0.1.0

У цій статті ми збираємося встановити на Ubuntu 16.04, але спагетті можна встановити в будь-якому дистрибутиві. Ми просто повинні встановити python 2.7 (як мінімум) та виконайте такі команди:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Після завершення встановлення ми зможемо використовувати інструмент у всіх веб-програмах, які ми хочемо відсканувати.

Використовуйте спагетті

Важливо зазначити, що найкращим використанням цього інструменту є пошук відкритих прогалин у безпеці наших веб-додатків. За допомогою програми, виявивши недоліки безпеки, нам буде легко їх усунути (якщо ми розробники). Таким чином ми можемо зробити наші програми більш безпечними.

Для використання цієї програми, як я вже говорив раніше, з терміналу (Ctrl + Alt + T) нам доведеться написати щось на зразок наступного:

python spaghetti.py -u “objetivo” -s [0-3]

або ми також можемо використовувати:

python spaghetti.py --url “objetivo” --scan [0-3]

Там, де ви читаєте "мета", вам доведеться розмістити URL-адресу для аналізу. Параметри -uo –url посилаються на ціль сканування, а -so –scan надає нам різні можливості від 0 до 3. Ви можете перевірити більш детальне значення в довідці програми.

Якщо ми хочемо знати, які варіанти він робить для нас доступними, ми можемо скористатися допомогою, яку вона покаже нам на екрані.

Було б безглуздо не виявити, що інші користувачі можуть скористатися цим інструментом, щоб спробувати отримати доступ до веб-програм, якими вони не володіють. Це буде залежати від етики кожного користувача.


Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   Джиммі Олано - сказав він
    тому 7 років

    Як би це не здавалося неймовірним, установка зазнає невдачі, коли я хочу встановити "Гарний суп", він взагалі не підтримує Python3, і через безглузді підписи в "print" вони повинні були використовувати "імпорт з __future___" :

    Збір BeautifulSoup
    Завантаження BeautifulSoup-3.2.1.tar.gz
    Повне виведення з команди python setup.py egg_info:
    Traceback (останній останній дзвінок):
    Файл «», рядок 1, в
    Файл "/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py", рядок 22
    print "Юніт-тести провалились!"
    ^
    SyntaxError: відсутні дужки у виклику "print"

    Відповідь Джиммі Олано
    1.    Даміан Амедо - сказав він
      тому 7 років

      Я думаю, що BeautifulSoup можна встановити за допомогою sudo apt install python-bs4. Сподіваюся, це вирішить вашу проблему. Салю2.

      Відповідь Даміану Амедо