V příštím článku se podíváme na Arachniho. Je to o framework vyvinutý s Ruby a vytvořen s cílem nabídnout uživatelům různé funkce pro skenování webových aplikací. Navzdory tomu, že neobdrží aktualizace po dobu 2 let, ve své době to bylo považováno za pomoc profesionálům při analýze a penetračních testech, může to být také užitečné pro správce serverů nebo webmastery, kteří hodnotí bezpečnost webových aplikací.
Es cross platform, kompatibilní s hlavními operačními systémy, jako jsou Windows, Mac OS X a Gnu / Linux. Je distribuován prostřednictvím balíčků, které umožňují okamžité nasazení. Je volný a jeho zdrojový kód je veřejný, najdeme ho ve vašem Stránka GitHub.
Je co dostatečně univerzální na pokrytí velkého počtu případů použitíOd jednoduchého nástroje pro skenování z příkazového řádku po globální síť vysoce výkonných skenerů a knihovnu Ruby pro skriptované audity. Díky přímému rozhraní REST API je integrace snadná.
Tento rámec se sám trénuje sledování a učení chování webové aplikace během procesu skenování. Kromě toho můžete provést analýzu pomocí řady faktorů, abyste správně posoudili spolehlivost výsledků a identifikovali nebo se vyhnuli falešným pozitivům.
Tento skener zohlední dynamickou povahu webových aplikací. Umět detekovat změny způsobené při procházení cest webové aplikace, podle toho se přizpůsobit. Tímto způsobem lze bez problémů zpracovat vektory útoku / vstupu, které by jinak byly nezjistitelné jinými osobami.
Navíc díky integrovanému prostředí prohlížeče také kód na straně klienta lze zkontrolovat a zkontrolovatstejně jako podpora komplikovaných webových aplikací, které velmi využívají technologie jako JavaScript, HTML5, manipulace s DOM a AJAX.
Arachni obecná charakteristika
- Cookie-jar / cookie-string, vlastní záhlaví a podpora SSL s některými možnostmi.
- Spoofing uživatelského agenta.
- Podpora proxy pro SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 a HTTP / 1.0.
- Proxy autentizace.
- Ověřování stránek (založené na SSL, založené na formulářích, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos a další).
- Automatické odhlášení a detekce opětovné relace během skenování.
- Vlastní detekce stránky 404.
- Rozhraní příkazového řádku.
- Webové uživatelské rozhraní.
- Pozastavení / obnovení funkce. Podpora hibernace: pozastavení a obnovení z disku.
- Vysoce výkonné asynchronní požadavky HTTP.
- Díky schopnosti automaticky detekovat stav serveru a automaticky upravovat jeho souběžnost.
- Podpora vlastních výchozích vstupních hodnot pomocí párů vzorů (které mají být porovnány s názvy vstupů) a hodnot, které mají být použity k vyplnění odpovídajících vstupů
To jsou jen některé z funkcí. Oni mohou podívejte se na tyto a všechny ostatní podrobně, V stránka projektu GitHub.
Nainstalujte skener Arachni na Ubuntu
Budeme moci stáhněte balíček nutné buď z webových stránek projektu nebo otevřením terminálu (Ctrl + Alt + T) a zadáním následujícího příkazu:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Teď máme jen rozbalte stažený balíček spuštěním následujícího příkazu ve stejném terminálu:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Spuštění Arachni a základní použití
Budeme moci spusťte webové rozhraní Arachni s následujícím příkazem:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
Jakmile začneme, uděláme to otevřete prohlížeč a jako URL napíšeme:
https://localhost:9292/users/sign_in/
Výchozí uživatelské jméno a heslo, můžeme je najít na Wiki který lze vidět na výše uvedeném snímku obrazovky. Jakmile se dostanete do rozhraní, k zahájení nového průzkumu budeme muset pouze kliknout na ikonu '+ Nové".
Po zadání adresy URL ke skenování pokračujeme kliknutím na Go začít
Takto začíná skenování.
Po dokončení skenování do stáhnout zprávu vše, co musíme udělat, je vybrat formát a kliknout na OK.
Stručně řečeno, i když Tento skener již několik let neobdržel aktualizace, je stále dostatečně univerzální k pokrytí velkého počtu případů použití. Pro více informací o tomto projektu se obraťte na webová stránka.