Tisíce webových aplikací, mnoho z nich bez dodržování základních bezpečnostních pokynů, k analýze, že naše webové aplikace jsou na vysoké úrovni zabezpečení, je možné použít Špagety, docela zajímavý skener zranitelnosti.
Co jsou špagety?
Jedná se o open source aplikaci vyvinutou v Pythonu, která nám to umožňuje skenovat zranitelnost webových aplikací, je aplikace navržena tak, aby našla různé výchozí nebo nezabezpečené soubory a také detekovala nesprávné konfigurace.
Protože je vyvíjen v pythonu, lze tento nástroj spustit v jakémkoli operačním systému, který je kompatibilní s verzí 2.7 pythonu.
Obsahuje silný Fingerprinting který nám umožňuje shromažďovat informace z webové aplikace, mezi nimiž jsou informace týkající se serveru, rámce používaného pro jeho vývoj (CakePHP, CherryPy, Django, ...), pokud obsahuje aktivní bránu firewall (Cloudflare, AWS, Barracuda, ...), pokud byl vyvinut pomocí cms (Drupal, Joomla, Wordpress, ...), operační systém, na kterém je aplikace spuštěna, a použitý programovací jazyk.
Rovněž je vybaven dalšími řadami funkcí, které umožní vyčerpávající analýzu integrity a zabezpečení webové aplikace, a to vše z terminálu a jednoduchým způsobem.
Obecně řečeno, jakmile nástroj spustíme, musíme jednoduše vybrat adresu URL webové aplikace, kterou chceme analyzovat, a zadat parametry odpovídající funkcím, které chceme použít, pak nástroj provede příslušnou analýzu a zobrazí získané výsledky.
Jak nainstalovat špagety?
Chcete-li nainstalovat Spaghetti do jakéhokoli distribuce, jednoduše musíme mít nainstalovaný python 2.7 a provést následující příkazy:
$ git clone https://github.com/m4ll0k/Spaghetti.git
$ cd Spaghetti
$ pip install -r doc/requirements.txt
$ python spaghetti.py -h Poté můžeme nástroj jednoduše použít ve všech webových aplikacích, které chceme skenovat. Tento nástroj je poměrně výkonný a snadno použitelný, má také velmi aktivního vývojáře, který se specializuje na nástroje související s počítačovou bezpečností.
Je důležité si uvědomit, že nejlepším použitím, které můžeme tomuto nástroji poskytnout, je najít otevřené bezpečnostní mezery v našich webových aplikacích, vyřešit je a zvýšit jejich bezpečnost, nicméně někteří uživatelé by mohli tento nástroj využít k pokusu o přístup na web aplikace, které nejsou vaším majetkem, proto doporučujeme, abyste je používali správně.