Tūkstošiem tīmekļa lietojumprogrammas, daudzi no tiem, neievērojot drošības pamatnostādnes, ir iespējams analizēt, vai mūsu tīmekļa lietojumprogrammas ir augstā drošības līmenī Spageti, diezgan interesants ievainojamības skeneris.
Kas ir spageti?
Tā ir atvērtā koda lietojumprogramma, kas izstrādāta Python, kas mums ļauj skenēt tīmekļa lietojumprogrammas pēc ievainojamības, lietojumprogramma ir paredzēta dažādu noklusējuma vai nedrošu failu atrašanai, kā arī nepareizu konfigurāciju noteikšanai.
Šo rīku, kas ir izstrādāts pitonā, var izpildīt jebkurā operētājsistēmā, kas ir saderīga ar pitona versiju 2.7.
Satur spēcīgu Pirkstu nospiedums kas ļauj mums apkopot informāciju no tīmekļa lietojumprogrammas, tostarp informāciju, kas saistīta ar serveri, tā izstrādei izmantoto sistēmu (CakePHP, CherryPy, Django, ...), ja tajā ir aktīvs ugunsmūris (Cloudflare, AWS, Barracuda, ...), ja tas ir izstrādāts, izmantojot cms (Drupal, Joomla, Wordpress, ...), operētājsistēma, kurā darbojas lietojumprogramma, un izmantotā programmēšanas valoda.
Tas ir aprīkots arī ar citām funkciju sērijām, kas ļaus izsmeļoši analizēt tīmekļa lietojumprogrammas integritāti un drošību, to visu no termināļa un vienkāršā veidā.
Kopumā, palaižot rīku, mums vienkārši jāizvēlas tīmekļa lietojumprogrammas URL, kuru mēs vēlamies analizēt, un jāievada parametri, kas atbilst funkcionalitātei, kuru mēs vēlamies izmantot, tad rīks veiks atbilstošo analīzi un parādīs iegūtie rezultāti.
Kā instalēt spageti?
Lai instalētu Spaghetti jebkurā izplatītājā, mums vienkārši ir jāinstalē python 2.7 un jāizpilda šādas komandas:
$ git clone https://github.com/m4ll0k/Spaghetti.git
$ cd Spaghetti
$ pip install -r doc/requirements.txt
$ python spaghetti.py -h Tad mēs varam vienkārši izmantot rīku visās tīmekļa lietojumprogrammās, kuras mēs vēlamies skenēt. Lietderība ir diezgan jaudīga un viegli lietojama, tai ir arī ļoti aktīvs izstrādātājs, kas specializējas ar datoru drošību saistītos rīkos.
Ir svarīgi atzīmēt, ka labākais, ko mēs varam izmantot šim rīkam, ir atrast atklātas drošības nepilnības mūsu tīmekļa lietojumprogrammās, tās novērst un padarīt drošākas, tomēr daži lietotāji varētu izmantot šo rīku, lai mēģinātu piekļūt tīmeklim programmas, kuras nav jūsu īpašums, tāpēc iesakām tās pareizi lietot.