אלפי יישומי אינטרנט, רבים מהם מבלי למלא אחר הנחיות האבטחה הבסיסיות, כדי לנתח כי יישומי האינטרנט שלנו הם ברמת אבטחה גבוהה שניתן להשתמש בהם ספגטי, סורק פגיעות מעניין למדי.
מה זה ספגטי?
זהו יישום קוד פתוח, שפותח בפייתון המאפשר לנו לסרוק יישומי אינטרנט לאיתור נקודות תורפה, היישום נועד למצוא קבצי ברירת מחדל שונים או לא מאובטחים, כמו גם לזהות תצורות שגויות.
בהיותו מפותח בפייתון, ניתן לבצע כלי זה בכל מערכת הפעלה התואמת לגרסה 2.7 של פיתון.
מכיל עוצמה טביעת אצבע המאפשר לנו לאסוף מידע מיישום אינטרנט, ביניהם המידע הקשור לשרת, המסגרת המשמשת לפיתוחו (CakePHP, CherryPy, Django, ...), אם הוא מכיל חומת אש פעילה (Cloudflare, AWS, Barracuda, ...), אם הוא פותח באמצעות cms (דרופל, ג'ומלה, וורדפרס, ...), מערכת ההפעלה בה פועלת האפליקציה ושפת התכנות בה משתמשים.
זה גם מצויד בסדרות פונקציות אחרות שיאפשרו ניתוח ממצה של תקינות וביטחון של יישום אינטרנט, כל זאת מהטרמינל ובצורה פשוטה.
באופן כללי, ברגע שאנחנו מפעילים את הכלי, עלינו פשוט לבחור את כתובת ה- url של יישום האינטרנט אותו אנו רוצים לנתח ולהזין את הפרמטרים המתאימים לפונקציונליות שאנו רוצים להחיל, ואז הכלי יבצע את הניתוח המתאים ויציג התוצאות שהושגו.
כיצד להתקין ספגטי?
כדי להתקין ספגטי בכל הפצה עלינו פשוט להתקין את פייתון 2.7 ולבצע את הפקודות הבאות:
$ git clone https://github.com/m4ll0k/Spaghetti.git
$ cd Spaghetti
$ pip install -r doc/requirements.txt
$ python spaghetti.py -h אז אנחנו יכולים פשוט להשתמש בכלי בכל יישומי האינטרנט שאנחנו רוצים לסרוק. כלי השירות די חזק וקל לשימוש, יש לו גם מפתח פעיל מאוד, שמתמחה בכלים שקשורים לאבטחת מחשבים.
חשוב לציין כי השימוש הטוב ביותר שאנו יכולים להעניק לכלי זה הוא למצוא פערי אבטחה פתוחים ביישומי האינטרנט שלנו, לפתור אותם ולהפוך אותם לבטוחים יותר, אולם משתמשים מסוימים יכולים לנצל את הכלי הזה כדי לנסות לגשת לאינטרנט. יישומים שהם אינם הנכס שלך, לכן אנו ממליצים להשתמש בהם כראוי.