Hàng ngàn được tạo ra hàng ngày ứng dụng web, nhiều trong số chúng không tuân theo các nguyên tắc bảo mật cơ bản, có thể sử dụng để phân tích xem các ứng dụng web của chúng tôi có ở mức bảo mật cao hay không Spaghetti, một công cụ quét lỗ hổng rất thú vị.
Spaghetti là gì?
Nó là một ứng dụng mã nguồn mở, được phát triển bằng Python cho phép chúng ta quét các ứng dụng web để tìm lỗ hổng, ứng dụng được thiết kế để tìm các tệp mặc định hoặc không an toàn khác nhau, cũng như phát hiện các cấu hình sai.
Được phát triển bằng Python, công cụ này có thể chạy trên mọi hệ điều hành tương thích với Python phiên bản 2.7.
Chứa đựng sức mạnh Vân tay cho phép chúng tôi thu thập thông tin từ một ứng dụng web, trong đó thông tin liên quan đến máy chủ, khung được sử dụng để phát triển nó (CakePHP, CherryPy, Django,…), nếu nó chứa tường lửa đang hoạt động (Cloudflare, AWS, Barracuda,…), nếu nó được phát triển bằng cms (Drupal, Joomla, WordPress,…), hệ điều hành mà ứng dụng chạy trên đó và ngôn ngữ lập trình được sử dụng.
Nó cũng được trang bị một loạt chức năng khác cho phép phân tích toàn diện tính toàn vẹn và bảo mật của ứng dụng web, tất cả đều từ thiết bị đầu cuối và theo cách đơn giản.
Nói chung, khi chạy công cụ, chúng ta chỉ cần chọn URL của ứng dụng web mà chúng ta muốn phân tích và nhập các tham số tương ứng với chức năng mà chúng ta muốn áp dụng, sau đó công cụ sẽ thực hiện phân tích tương ứng và hiển thị kết quả thu được.
Làm cách nào để cài đặt Spaghetti?
Để cài đặt Spaghetti trên bất kỳ bản phân phối nào, chúng ta chỉ cần cài đặt python 2.7 và thực hiện các lệnh sau:
$ git clone https://github.com/m4ll0k/Spaghetti.git
$ cd Spaghetti
$ pip install -r doc/requirements.txt
$ python spaghetti.py -h Sau đó, chúng ta có thể chỉ cần sử dụng công cụ này trên tất cả các ứng dụng web mà chúng ta muốn quét. Tiện ích này khá mạnh mẽ và dễ sử dụng, đồng thời nó còn có một nhà phát triển rất năng động, chuyên về các công cụ liên quan đến bảo mật máy tính.
Điều quan trọng cần lưu ý là cách sử dụng tốt nhất mà chúng tôi có thể cung cấp cho công cụ này là tìm ra các lỗ hổng bảo mật mở trong các ứng dụng web của chúng tôi, giải quyết chúng và làm cho chúng an toàn hơn. Tuy nhiên, một số người dùng có thể tận dụng công cụ này để cố gắng truy cập web các ứng dụng mà Chúng không phải là tài sản của bạn, vì vậy chúng tôi khuyên bạn nên sử dụng chúng một cách thích hợp.