Тисячі веб-програми, багато з них, не дотримуючись основних вказівок щодо безпеки, для аналізу того, що наші веб-програми знаходяться на високому рівні безпеки, можна використовувати Спагетті, досить цікавий сканер вразливостей.
Що таке спагетті?
Це програма з відкритим кодом, розроблена на Python, що дозволяє нам сканувати веб-програми на наявність уразливостей, програма призначена для пошуку різних файлів за замовчуванням або незахищених файлів, а також для виявлення неправильних конфігурацій.
Оскільки він розроблений на python, цей інструмент може виконуватися в будь-якій операційній системі, сумісній з версією 2.7 python.
Містить потужний Дактилоскопія що дозволяє нам збирати інформацію з веб-додатків, серед яких інформація, що стосується сервера, основи, що використовується для його розробки (CakePHP, CherryPy, Django, ...), якщо він містить активний брандмауер (Cloudflare, AWS, Barracuda, ...), якщо він був розроблений за допомогою cms (Drupal, Joomla, Wordpress, ...), операційна система, на якій запущено додаток, та використовувана мова програмування.
Він також оснащений іншими функціональними можливостями, які дозволять проводити вичерпний аналіз цілісності та безпеки веб-додатків, і все це з терміналу та простим способом.
Загалом, після запуску інструменту нам просто потрібно вибрати URL-адресу веб-програми, яку ми хочемо проаналізувати, і ввести параметри, що відповідають функціоналу, який ми хочемо застосувати, тоді інструмент проведе відповідний аналіз і покаже отримані результати.
Як встановити спагетті?
Щоб встановити спагетті на будь-якому дистрибутиві, нам просто потрібно встановити python 2.7 і виконати наступні команди:
$ git clone https://github.com/m4ll0k/Spaghetti.git
$ cd Spaghetti
$ pip install -r doc/requirements.txt
$ python spaghetti.py -h
Тоді ми можемо просто використовувати інструмент у всіх веб-програмах, які ми хочемо сканувати. Утиліта досить потужна і проста у використанні, у неї також є дуже активний розробник, який спеціалізується на інструментах, пов'язаних з комп'ютерною безпекою.
Важливо зазначити, що найкращим використанням цього інструменту є пошук відкритих прогалин у безпеці наших веб-додатків, їх вирішення та підвищення рівня безпеки, проте деякі користувачі можуть скористатися цим інструментом, щоб спробувати отримати доступ до Інтернету програми, які Вони не є вашою власністю, тому ми рекомендуємо використовувати їх належним чином.