Ezrek webes alkalmazások, sokan közülük az alapvető biztonsági irányelvek betartása nélkül, annak elemzése, hogy webalkalmazásaink magas biztonsági szinten vannak-e, használható Spagetti, egy meglehetősen érdekes biztonsági rés-leolvasó.
Mi az a spagetti?
Ez egy Python-ban kifejlesztett nyílt forráskódú alkalmazás, amely lehetővé teszi számunkra vizsgálja meg a webalkalmazásokat sebezhetőség szempontjából, az alkalmazást különféle alapértelmezett vagy nem biztonságos fájlok keresésére, valamint a helytelen konfigurációk felderítésére tervezték.
Mivel a python fejlesztette, ez az eszköz bármilyen operációs rendszeren futtatható, amely kompatibilis a python 2.7 verziójával.
Tartalmaz egy erős fingerprinting amely lehetővé teszi számunkra, hogy információkat gyűjtsünk egy webalkalmazásból, többek között a kiszolgálóval, a fejlesztéshez használt keretrendszerrel kapcsolatos információkat (CakePHP, CherryPy, Django, ...), ha aktív tűzfalat tartalmaz (Cloudflare, AWS, Barracuda, ...), ha egy cms (Drupal, Joomla, Wordpress, ...), az operációs rendszer, amelyen az alkalmazás fut, és a használt programozási nyelv.
Ezenkívül más funkciósorozatokkal is rendelkezik, amelyek lehetővé teszik egy webalkalmazás integritásának és biztonságának teljes elemzését, mindezt a terminálról és egyszerűen.
Általánosságban elmondható, hogy az eszköz futtatása után egyszerűen ki kell választanunk a webalkalmazás URL-jét, amelyet elemezni akarunk, és be kell adnunk az alkalmazandó funkcionalitásnak megfelelő paramétereket, majd az eszköz elvégzi a megfelelő elemzést és megmutatja a kapott eredményeket.
Hogyan kell telepíteni a spagettit?
A Spaghetti bármely disztribúcióra történő telepítéséhez egyszerűen telepítenünk kell a python 2.7-et, és végre kell hajtanunk a következő parancsokat:
$ git clone https://github.com/m4ll0k/Spaghetti.git
$ cd Spaghetti
$ pip install -r doc/requirements.txt
$ python spaghetti.py -h Ezután egyszerűen használhatjuk az eszközt az összes beolvasni kívánt webalkalmazásban. A segédprogram elég nagy teljesítményű és könnyen használható, emellett nagyon aktív fejlesztője is van, aki a számítógépes biztonsággal kapcsolatos eszközökre specializálódott.
Fontos megjegyezni, hogy ennek az eszköznek a legjobb felhasználása az, ha webalkalmazásainkban nyitott biztonsági hiányosságokat találunk, megoldjuk és biztonságosabbá tesszük, azonban néhány felhasználó kihasználhatja ezt az eszközt, hogy megpróbálja elérni az internetet alkalmazások, amelyek nem az Ön tulajdonát képezik, ezért javasoljuk, hogy megfelelően használja őket.