Spaghetti, quét bảo mật của các ứng dụng Web của bạn

Damián A.

4 phút

logo spaghetti web phân tích

Trong phần tiếp theo, chúng ta sẽ cùng tìm hiểu về Spaghetti. Đây là một ứng dụng mã nguồn mở. Nó đã được phát triển bằng Python và nó sẽ cho phép chúng tôi quét các ứng dụng web để tìm kiếm các lỗ hổng để sửa chúng. Ứng dụng được thiết kế để tìm các tệp mặc định hoặc không an toàn khác nhau, cũng như để phát hiện các cấu hình sai.

Ngày nay, bất kỳ người dùng nào với kiến ​​thức tối thiểu đều có thể tạo ra các ứng dụng web, đó là lý do tại sao hàng nghìn ứng dụng web được tạo ra hàng ngày. Vấn đề là nhiều người trong số họ được tạo ra mà không tuân theo các đường bảo mật cơ bản. Để tránh mở cửa, chúng tôi có thể sử dụng chương trình này để phân tích rằng các ứng dụng web của chúng tôi đang ở mức độ bảo mật cao hoặc ít nhất là chấp nhận được. Spaghetti là một trình quét lỗ hổng rất thú vị và dễ sử dụng.

Đặc điểm chung của Mỳ Ý 0.1.0

Vì nó đã được phát triển trong mãng xà công cụ này sẽ có thể chạy trên mọi hệ điều hành làm cho nó tương thích với phiên bản python 2.7.

Chương trình có chứa một "Vân tay”Điều đó sẽ cho phép chúng tôi thu thập thông tin từ một ứng dụng web. Giữa tất cả thông tin bạn có thể thu thập Ứng dụng này làm nổi bật các thông tin liên quan đến máy chủ, framework được sử dụng để phát triển (CakePHP, CherryPy, Django, ...), nó sẽ thông báo cho chúng tôi nếu nó chứa tường lửa đang hoạt động (Cloudflare, AWS, Barracuda, ...), nếu nó đã được phát triển bằng cách sử dụng cms (Drupal, Joomla, Wordpress, v.v.), hệ điều hành mà ứng dụng chạy và ngôn ngữ lập trình được sử dụng.

kết quả phân tích spaghetti

Chúng tôi cũng có thể lấy thông tin từ bảng quản trị của ứng dụng web, cửa sau (nếu có) và nhiều thứ khác. Hơn nữa, chương trình này được trang bị một số chức năng hữu ích. Tất cả những điều này chúng tôi có thể thực hiện từ thiết bị đầu cuối và theo một cách đơn giản.

Hoạt động của chương trình này cho thiết bị đầu cuối, nói chung, là như sau. Mỗi khi chúng tôi chạy công cụ, chúng tôi sẽ chỉ cần chọn URL của ứng dụng web mà chúng tôi muốn phân tích. Chúng tôi cũng sẽ phải nhập các thông số tương ứng với chức năng mà chúng tôi muốn áp dụng. Sau đó công cụ sẽ phụ trách việc đưa ra các phân tích tương ứng và sẽ đưa ra kết quả thu được.

Chúng tôi có thể truy cập mã ứng dụng và các đặc điểm của nó từ trang của Github của dự án. Tiện ích này khá mạnh mẽ và dễ sử dụng. Cũng phải nói rằng nó có một nhà phát triển rất năng động, chuyên về các công cụ liên quan đến bảo mật máy tính. Vì vậy, tôi đoán một bản cập nhật tiếp theo là vấn đề thời gian.

Cài đặt Spaghetti 0.1.0

Trong bài viết này, chúng tôi sẽ cài đặt trên Ubuntu 16.04, nhưng Spaghetti có thể được cài đặt trong bất kỳ bản phân phối nào. Đơn giản là chúng ta phải đã cài đặt python 2.7 (tối thiểu) và chạy các lệnh sau:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Sau khi cài đặt xong, chúng tôi có thể sử dụng công cụ này trong tất cả các ứng dụng web mà chúng tôi muốn quét.

Dùng mì Ý

Điều quan trọng cần lưu ý là cách sử dụng tốt nhất mà chúng tôi có thể sử dụng công cụ này là tìm ra các lỗ hổng bảo mật mở trong các ứng dụng web của chúng tôi. Với chương trình, sau khi tìm thấy các lỗi bảo mật, chúng tôi sẽ dễ dàng giải quyết chúng (nếu chúng tôi là nhà phát triển). Bằng cách này, chúng tôi có thể làm cho các ứng dụng của mình an toàn hơn.

Để sử dụng chương trình này, như tôi đã nói trước đây, từ terminal (Ctrl + Alt + T), chúng ta sẽ phải viết một cái gì đó như sau:

python spaghetti.py -u “objetivo” -s [0-3]

hoặc chúng ta cũng có thể sử dụng:

python spaghetti.py --url “objetivo” --scan [0-3]

Nơi bạn đọc "khách quan" bạn phải đặt URL để phân tích. Với các tùy chọn -uo –url nó đề cập đến mục tiêu quét, -so –scan sẽ cung cấp cho chúng ta các khả năng khác nhau từ 0 đến 3. Bạn có thể kiểm tra ý nghĩa chi tiết hơn từ sự trợ giúp của chương trình.

Nếu chúng tôi muốn biết những tùy chọn nào nó cung cấp cho chúng tôi, chúng tôi có thể sử dụng trợ giúp mà nó sẽ hiển thị trên màn hình.

Sẽ thật ngu ngốc nếu không phát hiện ra rằng những người dùng khác có thể lợi dụng công cụ này để cố gắng truy cập các ứng dụng web mà họ không sở hữu. Điều này sẽ phụ thuộc vào đạo đức của mỗi người dùng.


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   Jimmy olano dijo
    trước 7 năm

    Nó có vẻ khó tin, cài đặt không thành công khi tôi muốn cài đặt "Beautiful soup", nó không hỗ trợ Python3 chút nào và vì sự vô nghĩa của chú thích trong "print", họ nên sử dụng "import from __future___" :

    Thu thập BeautifulSoup
    Tải xuống BeautifulSoup-3.2.1.tar.gz
    Hoàn thành đầu ra từ lệnh python setup.py egg_info:
    Traceback (cuộc gọi gần đây nhất cuối cùng):
    Tệp «», dòng 1, trong
    Tệp "/tmp/pip-build-hgiw5x3b/BeautifulSoup/setup.py", dòng 22
    print "Bài kiểm tra đơn vị không thành công!"
    ^
    SyntaxError: Thiếu dấu ngoặc đơn trong lệnh gọi tới 'print'

    Trả lời Jimmy Olano
    1.    Damian Amoedo dijo
      trước 7 năm

      Tôi nghĩ rằng BeautifulSoup có thể được cài đặt bằng cách sử dụng sudo apt install python-bs4. Hy vọng nó giải quyết được vấn đề của bạn. Salu2.

      Trả lời Damian Amoedo