Tisuće web aplikacija, mnogi od njih bez slijeđenja osnovnih sigurnosnih smjernica, kako bi se analiziralo da li su naše web aplikacije na visokoj razini sigurnosti, moguće je koristiti Špageti, prilično zanimljiv skener ranjivosti.
Što su špageti?
To je aplikacija otvorenog koda, razvijena u Pythonu koja nam omogućuje skeniranje web aplikacija radi ranjivosti, aplikacija je dizajnirana za pronalaženje različitih zadanih ili nesigurnih datoteka, kao i za otkrivanje pogrešnih konfiguracija.
Kako je razvijen u pythonu, ovaj se alat može izvršiti na bilo kojem operativnom sustavu koji je kompatibilan s verzijom 2.7 pythona.
Sadrži snažan Identifikacija koji nam omogućuje prikupljanje podataka iz web aplikacije, među kojima su i informacije povezane s poslužiteljem, okvirom koji se koristi za njegov razvoj (CakePHP, CherryPy, Django, ...), ako sadrži aktivni vatrozid (Cloudflare, AWS, Barracuda, ...), ako je razvijen pomoću cms-a (Drupal, Joomla, Wordpress, ...), operativni sustav na kojem je aplikacija pokrenuta i programski jezik koji se koristi.
Također je opremljen drugim nizom funkcionalnosti koje će omogućiti iscrpnu analizu cjelovitosti i sigurnosti web aplikacija, sve to s terminala i na jednostavan način.
Općenito govoreći, nakon što pokrenemo alat, jednostavno moramo odabrati url web aplikacije koju želimo analizirati i unijeti parametre koji odgovaraju funkcionalnosti koju želimo primijeniti, a zatim će alat izvršiti odgovarajuću analizu i prikazati dobiveni rezultati.
Kako instalirati špagete?
Da bismo instalirali špagete u bilo koji distro, jednostavno moramo instalirati python 2.7 i izvršiti sljedeće naredbe:
$ git clone https://github.com/m4ll0k/Spaghetti.git
$ cd Spaghetti
$ pip install -r doc/requirements.txt
$ python spaghetti.py -h Tada alat možemo jednostavno koristiti u svim web aplikacijama koje želimo skenirati. Uslužni program vrlo je moćan i jednostavan za upotrebu, a također ima vrlo aktivnog programera koji se specijalizirao za alate povezane s računalnom sigurnošću.
Važno je napomenuti da je najbolje iskoristiti ovaj alat da pronađemo otvorene sigurnosne praznine u našim web aplikacijama, da ih riješimo i učinimo sigurnijima, međutim, neki bi korisnici mogli iskoristiti ovaj alat da pokušaju pristupiti webu aplikacije koje nisu vaše vlasništvo, pa preporučujemo da ih pravilno upotrebljavate.