En el siguiente artículo vamos a echar un vistazo a Spaghetti. Esta es una aplicación de código abierto. Ha sido desarrollada en Python y nos va a permitir escanear aplicaciones web en búsqueda de vulnerabilidades para así poder corregirlas. La aplicación esta diseñada para encontrar varios archivos predeterminados o inseguros, así como para detectar configuraciones erróneas.

Hoy en día, cualquier usuario con unos mínimos conocimientos puede crear aplicaciones web, por eso se crean miles de aplicaciones web a diario. El problema es que muchas de ellas se crean sin seguir unas líneas de seguridad básicas. Para evitar dejar puertas abiertas podemos utilizar este programa para analizar que nuestras aplicaciones web se encuentran en un nivel de seguridad alta o como mínimo aceptables. Spaghetti es un escaner de vulnerabilidad bastante interesante y sencillo de utilizar.

Características generales de Spaghetti 0.1.0

Como se ha desarrollada en python esta herramienta va a poder ser ejecutada en cualquier sistema operativo que sea compatible con la versión 2.7 de python.

El programa contiene un potente “Fingerprinting” que nos va a permitir recopilar información de una aplicación web. Entre toda la información que puede recabar esta aplicación destaca la información relacionada con servidor, el framework utilizado para el desarrollo (CakePHP, CherryPy, Django,…), nos avisará si contiene un firewall activo (Cloudflare,AWS,Barracuda,…), si ha sido desarrollado utilizando un cms (Drupal,Joomla,Wordpress, etc), el sistema operativo en el que se ejecuta la aplicación y el lenguaje de programación utilizado.

También podremos obtener información del panel de administración de la aplicación web, puertas traseras (si es que las hay) y muchas otras cosas. Además este programa viene equipado con algunas series de funcionalidades útiles. Todo esto podremos llevarlo a cabo desde la terminal y de manera sencilla.

El funcionamiento de este programa para la terminal, en líneas generales, viene siendo el siguiente. Cada vez que ejecutemos la herramienta simplemente tendremos que elegir la URL de la aplicación web que deseamos analizar. También tendremos que introducir los parámetros correspondiente a la funcionalidad que deseamos aplicar. Después la herramienta se encargará de hacer el análisis correspondiente y mostrará los resultados obtenidos.

Podremos acceder al código de la aplicación y a sus características desde la página de Github del proyecto. La utilidad es bastante poderosa y fácil de utilizar. También hay que decir que cuenta con un desarrollador muy activo, que se especializa en herramientas relacionadas con la seguridad informática. Por eso supongo que una próxima actualización es cuestión de tiempo.

Instalar Spaghetti 0.1.0

En este artículo vamos a realizar la instalación sobre un Ubuntu 16.04, pero se puede instalar Spaghetti en cualquier distribución. Simplemente tenemos que tener instalado python 2.7 (como mínimo) y ejecutar los siguientes comandos:

git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h

Una vez terminada la instalación podemos utilizar la herramienta en todas las aplicaciones web que deseemos escanear.

Utilizar Spaghetti

Es importante destacar que el mejor uso que podemos hacer de esta herramienta es el de encontrar brechas de seguridad abiertas en nuestras aplicaciones web. Con el programa, tras encontrar las fallas de seguridad, debería resultar sencillo que podamos solventarlas (si somos los desarrolladores). Así podremos hacer más seguras nuestras aplicaciones.

Para utilizar este programa, como ya he dicho anteriormente, desde la terminal (Ctrl+Alt+T) tendremos que escribir algo como lo siguiente:

python spaghetti.py -u “objetivo” -s [0-3]

o podremos utilizar también:

python spaghetti.py --url “objetivo” --scan [0-3]

Donde lees “objetivo” habrá que colocar la URL a analizar. Con las opciones -u o –url hace referencia al objetivo del escaneo, la -s o –scan nos dará diferentes posibilidades de la 0 a la 3. Puedes consultar el significado más detallado desde la ayuda del programa.

Si queremos saber que opciones pone a nuestra disposición, podremos hacer uso de la ayuda que nos mostrará por pantalla.

Sería de necios no caer en que otros usuarios podrían aprovechar esta herramienta para intentar acceder a aplicaciones web que no son de su propiedad. Esto ya irá en función de la ética de cada usuario.

El artículo Spaghetti, escanea la seguridad de tus aplicaciones Web ha sido originalmente publicado en Ubunlog.