La seguridad es uno de los puntos más importantes que debemos tener en cuenta a la hora de crear una página o aplicación web. A diario, los piratas informáticos buscan nuevas formas de comprometer cualquier tipo de plataforma o aplicación web, tomar el control sobre ella y hacerse con los datos personales que maneja. Para evitar que esto ocurra, además de cuidar la seguridad, es recomendable comprobar que, efectivamente, no hemos cometido ningún fallo a la hora de proteger nuestro proyecto utilizando analizadores de vulnerabilidades como, por ejemplo, Spaghetti.
Spaghetti es un analizador de seguridad y buscador de vulnerabilidades gratuito y de código abierto diseñado para permitirnos encontrar cualquier fallo de seguridad en nuestras aplicaciones web. Este escáner de vulnerabilidades está escrito en Python y es capaz de encontrar configuraciones por defecto que pueden estar dejando una puerta abierta a ataques informáticos como configuraciones erróneas que perjudican la seguridad o fallos en permisos de los archivos, entre otros muchos frentes.
Qué nos ofrece Spaghetti
Lo primero que nos ofrece esta herramienta es un completo “fingerprint” que nos permite recopilar todo tipo de información tanto del servidor (sistema operativo, firewall, etc) como de la aplicación en sí (CMS, Lenguaje de programación, Frameworks, etc).
Una vez que se ha conseguido la información de la plataforma, el siguiente paso es empezar a buscar las vulnerabilidades en la plataforma. Dentro de los análisis de vulnerabilidades que nos ofrece Spaghetti podemos encontrar desde análisis en la seguridad de los paneles de administración hasta en los componentes de Apache, puertas traseras al servidor o al panel de administración, copias de seguridad que puedan ser descargadas por otros, directorios y archivos comunes, Cookies, recopilación de información personal y sensible, etc.
Cómo instalar Spaghetti en cualquier distribución Linux
Al ser una aplicación de código abierto, podemos descargarla y empezar a utilizarla desde la página de su repositorio. Además, si queremos simplificar el proceso, los desarrolladores nos dejan los 4 comandos necesarios (suponiendo que ya tengamos Python instalado en nuestro sistema operativo) para descargar, instalar y empezar a analizar la seguridad de cualquier aplicación web con Spaghetti.
git clone https://github.com/m4ll0k/Spaghetti.git
cd Spaghetti
pip install -r doc/requirements.txt
python spaghetti.py -h
Al estar escrita en Python, es posible utilizar este analizador de vulnerabilidades desde cualquier sistema operativo, incluso Windows, mientras tengamos la plataforma Python instalada, aunque los creadores de este proyecto solo explican cómo ponerlo en funcionamiento en sistemas Linux, desde el terminal.
Os recordamos que solo debemos utilizar este tipo de aplicaciones en nuestras propias plataformas o en otras sobre las que tengamos permiso. Utilizarlas en servidores o aplicaciones sin permiso es ilegal, y no nos hacemos responsables de las consecuencias del mal uso de esta ni de otras aplicaciones similares.
¿Qué te parece Spaghetti? ¿Cuál es tu analizador de vulnerabilidades favorito?