U sljedećem članku ćemo pogledati Arachnija. Radi se o a framework razvijen sa Rubyjem i stvorena da korisnicima nudi različite funkcije za skeniranje web aplikacija. Iako nije primao ažuriranja dvije godine, u svoje vrijeme se smatralo da će biti od pomoći profesionalcima u analizama i testovima penetracije, ali može biti korisno i za administratore servera ili webmastere koji procjenjuju sigurnost web aplikacija.
Es cross platform, kompatibilan sa glavnim operativnim sistemima kao što su Windows, Mac OS X i Gnu / Linux. Distribuira se kroz pakete koji omogućavaju trenutno postavljanje. Je besplatno i njegov izvorni kod je javan, možemo ga pronaći na vašem GitHub stranica.
Je šta dovoljno svestran da pokrije veliki broj slučajeva upotrebeOd jednostavnog uslužnog programa za skeniranje naredbenog retka do globalne mreže skenera visokih performansi i Ruby biblioteke za skriptiranu reviziju. Osim toga, njegov direktan REST API olakšava integraciju.
Ovaj okvir se sam obučava praćenje i učenje ponašanja web aplikacije tokom procesa skeniranja. Pored toga, možete izvršiti analizu koristeći brojne faktore kako biste pravilno procijenili pouzdanost rezultata i identificirali ili izbjegli lažne pozitivne rezultate.
Ovaj skener će uzeti u obzir dinamičku prirodu web aplikacija. Može otkriti promjene nastale tijekom hodanja stazama web aplikacije, mogućnost prilagođavanja u skladu s tim. Na ovaj način se bez problema mogu rukovati vektorima napada / ulaska koje inače ne bi mogle otkriti neljudske osobe.
Štaviše, zbog svog integrisanog okruženja pretraživača, takođe kod klijenta može se revidirati i pregledatikao i podrška kompliciranim web aplikacijama, koje intenzivno koriste tehnologije kao što su JavaScript, HTML5, DOM manipulacija i AJAX.
Arachni opće karakteristike
- Cookie-jar / cookie-string, prilagođeno zaglavlje i SSL podrška sa nekim opcijama.
- Prevara korisničkog agenta.
- Proxy podrška za SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 i HTTP / 1.0.
- Proxy autentifikacija.
- Autentifikacija web lokacije (zasnovana na SSL-u, zasnovana na obrascima, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos i drugi).
- Automatsko otkrivanje odjave i ponovne sesije tokom skeniranja.
- Prilagođeno otkrivanje 404 stranica.
- Sučelje naredbenog retka.
- Web korisničko sučelje.
- Pauziranje / nastavak funkcionalnosti. Hibernate podrška: suspendovanje i vraćanje s diska.
- Asinhroni HTTP zahtjevi visokih performansi.
- Uz mogućnost automatskog otkrivanja statusa servera i automatskog podešavanja njegove istovremenosti.
- Podrška za prilagođene zadane vrijednosti unosa, koristeći parove uzoraka (koji se uspoređuju s imenima ulaza) i vrijednosti koje će se koristiti za popunjavanje odgovarajućih ulaza.
Ovo su samo neke od karakteristika. Oni mogu detaljno pogledajte ove i sve ostale, u stranica GitHub projekta.
Instalirajte Arachni skener na Ubuntu
Moći ćemo preuzmite paket potrebno bilo sa web stranice projekta ili otvaranjem terminala (Ctrl + Alt + T) i upisivanjem sljedeće naredbe u njega:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Sad imamo samo izdvojite preuzeti paket izvođenje sljedeće naredbe na istom terminalu:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Arachni pokretanje i osnovna upotreba
Moći ćemo lansirajte web interfejs Arachni sa sljedećom naredbom:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
Jednom kad započnemo, hoćemo otvorite preglednik i kao URL ćemo napisati:
https://localhost:9292/users/sign_in/
Podrazumijevano korisničko ime i lozinku možemo ih pronaći na Wiki što se može vidjeti na gornjoj snimci zaslona. Jednom u interfejsu, da bismo započeli novo istraživanje, trebat ćemo samo kliknuti na ikonu '+ Novo'.
Nakon unosa URL-a za skeniranje, nastavljamo klikom na Go za početak
Tako započinje skeniranje.
Nakon završetka skeniranja, do preuzmite izvještaj Morat ćemo samo odabrati format i kliknuti U redu.
Ukratko, iako Ovaj skener već nekoliko godina ne prima ažuriranja, još uvijek je dovoljno svestran da pokrije velik broj slučajeva upotrebe. Za više informacija o ovom projektu možete se obratiti svom web stranica.