Mii de aplicații web, multe dintre ele fără a urma liniile directoare de securitate de bază, pentru a analiza faptul că aplicațiile noastre web sunt la un nivel ridicat de securitate este posibil să le folosim Spaghete, un scanner de vulnerabilități destul de interesant.
Ce este Spaghetti?
Este o aplicație open source, dezvoltată în Python care ne permite scanează aplicațiile web pentru vulnerabilități, aplicația este concepută pentru a găsi diferite fișiere implicite sau nesigure, precum și pentru a detecta configurații greșite.
Deoarece este dezvoltat în python, acest instrument poate fi rulat pe orice sistem de operare care este compatibil cu versiunea 2.7 a python.
Conține un puternic amprentarea care ne permite să colectăm informații dintr-o aplicație web, printre care se numără informațiile legate de server, cadrul utilizat pentru dezvoltarea sa (CakePHP, CherryPy, Django, ...), dacă conține un firewall activ (Cloudflare, AWS, Barracuda, ...), dacă a fost dezvoltat folosind un cms (Drupal, Joomla, Wordpress, ...), sistemul de operare pe care rulează aplicația și limbajul de programare utilizat.
De asemenea, vine echipat cu alte serii de funcționalități care vor permite o analiză exhaustivă a integrității și securității unei aplicații web, toate acestea de la terminal și într-un mod simplu.
În termeni generali, odată ce rulăm instrumentul, trebuie pur și simplu să alegem adresa URL a aplicației web pe care dorim să o analizăm și să introducem parametrii corespunzători funcționalității pe care dorim să o aplicăm, atunci instrumentul va face analiza corespunzătoare și va arăta rezultatele obținute.
Cum se instalează Spaghetti?
Pentru a instala Spaghetti în orice distribuție trebuie pur și simplu să avem instalat python 2.7 și să executăm următoarele comenzi:
$ git clone https://github.com/m4ll0k/Spaghetti.git
$ cd Spaghetti
$ pip install -r doc/requirements.txt
$ python spaghetti.py -h
Apoi, putem folosi instrumentul în toate aplicațiile web pe care dorim să le scanăm. Utilitarul este destul de puternic și ușor de utilizat, are și un dezvoltator foarte activ, specializat în instrumente legate de securitatea computerului.
Este important de reținut că cea mai bună utilizare pe care o putem oferi acestui instrument este de a găsi lacune de securitate deschise în aplicațiile noastre web, de a le rezolva și de a le face mai sigure, cu toate acestea, unii utilizatori ar putea profita de acest instrument pentru a încerca să acceseze web aplicații care nu sunt proprietatea dvs., așa că vă recomandăm să le utilizați corect.