Στο επόμενο άρθρο θα ρίξουμε μια ματιά στην Αράχνη. Είναι για ένα πλαίσιο που αναπτύχθηκε με τον Ruby και δημιουργήθηκε για να προσφέρει στους χρήστες διαφορετικές δυνατότητες για σάρωση εφαρμογών ιστού. Παρά το γεγονός ότι δεν έλαβε ενημερώσεις για 2 χρόνια, την ημέρα που θεωρήθηκε ότι βοηθούσε τους επαγγελματίες στα τεστ ανάλυσης και διείσδυσης, μπορεί επίσης να είναι χρήσιμο για διαχειριστές διακομιστών ή webmasters που αξιολογούν την ασφάλεια των εφαρμογών ιστού.
Es cross platform, συμβατό με τα κύρια λειτουργικά συστήματα, όπως Windows, Mac OS X και Gnu / Linux. Διανέμεται μέσω πακέτων που επιτρέπουν την άμεση ανάπτυξη. Είναι δωρεάν και ο πηγαίος κώδικας του είναι δημόσιος, μπορούμε να τον βρούμε διαθέσιμο στο δικό σας Σελίδα GitHub.
Είναι τι αρκετά ευέλικτο ώστε να καλύπτει μεγάλο αριθμό περιπτώσεων χρήσηςΑπό ένα απλό βοηθητικό πρόγραμμα σαρωτή γραμμής εντολών σε ένα παγκόσμιο πλέγμα σαρωτών υψηλής απόδοσης και μια βιβλιοθήκη Ruby για έλεγχο σεναρίων. Επιπλέον, το απλό REST API διευκολύνει την ενσωμάτωση.
Αυτό το πλαίσιο εκπαιδεύεται παρακολούθηση και εκμάθηση της συμπεριφοράς της διαδικτυακής εφαρμογής κατά τη διαδικασία σάρωσης. Επιπλέον, μπορείτε να πραγματοποιήσετε μια ανάλυση χρησιμοποιώντας διάφορους παράγοντες για να αξιολογήσετε σωστά την αξιοπιστία των αποτελεσμάτων και να εντοπίσετε ή να αποφύγετε ψευδώς θετικά.
Αυτός ο σαρωτής θα λάβει υπόψη τη δυναμική φύση των εφαρμογών ιστού. Μπορώ εντοπίστε τις αλλαγές που προκαλούνται ενώ περπατάτε στα μονοπάτια μιας εφαρμογής ιστού, να μπορεί να προσαρμόζεται ανάλογα. Με αυτόν τον τρόπο, οι φορείς επίθεσης / εισόδου που διαφορετικά δεν θα ήταν ανιχνεύσιμοι από μη ανθρώπους μπορούν να αντιμετωπιστούν χωρίς προβλήματα.
Επιπλέον, λόγω του ενσωματωμένου περιβάλλοντος του προγράμματος περιήγησής του, επίσης Ο κωδικός πελάτη μπορεί να ελεγχθεί και να ελεγχθείκαθώς και την υποστήριξη περίπλοκων εφαρμογών ιστού, οι οποίες χρησιμοποιούν βαριά τεχνολογίες όπως JavaScript, HTML5, DOM manipulation και AJAX.
Γενικά χαρακτηριστικά της Αράχνης
- Cookie-jar / cookie-string, προσαρμοσμένη κεφαλίδα και υποστήριξη SSL με ορισμένες επιλογές.
- Πλαστογράφηση πράκτορα χρήστη.
- Υποστήριξη διακομιστή μεσολάβησης για SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 και HTTP / 1.0.
- Έλεγχος ταυτότητας διακομιστή μεσολάβησης.
- Έλεγχος ταυτότητας ιστότοπου (SSL, Forms-based, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos και άλλα).
- Αυτόματη αποσύνδεση και ανίχνευση επανεξόδου κατά τη σάρωση.
- Προσαρμοσμένη ανίχνευση σελίδας 404.
- Διεπαφή γραμμής εντολών.
- Διεπαφή χρήστη Ιστού.
- Παύση / συνέχιση της λειτουργίας. Υποστήριξη αδρανοποίησης: αναστολή και επαναφορά από δίσκο.
- Ασύγχρονα αιτήματα HTTP υψηλής απόδοσης.
- Με δυνατότητα αυτόματης ανίχνευσης της κατάστασης του διακομιστή και αυτόματης προσαρμογής της ταυτόχρονης λειτουργίας του.
- Υποστήριξη για προσαρμοσμένες προεπιλεγμένες τιμές εισόδου, χρησιμοποιώντας ζεύγη μοτίβων (για σύγκριση με ονόματα εισόδου) και τιμές που θα χρησιμοποιηθούν για τη συμπλήρωση αντίστοιχων εισόδων.
Αυτά είναι μόνο μερικά από τα χαρακτηριστικά. Αυτοί μπορούν δείτε αυτά και όλα τα άλλα αναλυτικάστο σελίδα έργου GitHub.
Εγκαταστήστε το σαρωτή Arachni στο Ubuntu
Θα είμαστε σε θέση κατεβάστε το πακέτο απαραίτητο είτε από τον ιστότοπο του έργου ή ανοίγοντας ένα τερματικό (Ctrl + Alt + T) και πληκτρολογώντας την ακόλουθη εντολή σε αυτό:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Τώρα έχουμε μόνο εξαγάγετε το πακέτο που κατεβάσατε εκτελώντας την ακόλουθη εντολή στο ίδιο τερματικό:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Εκκίνηση και βασική χρήση του Arachni
Θα είμαστε σε θέση ξεκινήστε τη διεπαφή ιστού Arachni με την ακόλουθη εντολή:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
Μόλις ξεκινήσει, θα το κάνουμε ανοίξτε το πρόγραμμα περιήγησης και ως URL θα γράψουμε:
https://localhost:9292/users/sign_in/
Το προεπιλεγμένο όνομα χρήστη και κωδικός πρόσβασης, μπορούμε να τα βρούμε στο Wiki το οποίο φαίνεται στο παραπάνω στιγμιότυπο οθόνης. Μόλις βρεθεί στη διεπαφή, για να ξεκινήσουμε μια νέα εξερεύνηση, θα πρέπει μόνο να κάνουμε κλικ στο εικονίδιο »+ Νέα'.
Αφού εισαγάγετε τη διεύθυνση URL για σάρωση, συνεχίζουμε κάνοντας κλικ στο Go για να ξεκινήσει
Έτσι ξεκινά η σάρωση.
Αφού ολοκληρωθεί η σάρωση, στο κατεβάστε την αναφορά το μόνο που έχουμε να κάνουμε είναι να επιλέξουμε τη μορφή και να κάνουμε κλικ στο OK.
Εν ολίγοις, αν και Αυτός ο σαρωτής δεν έχει λάβει ενημερώσεις εδώ και μερικά χρόνια, εξακολουθεί να είναι αρκετά ευέλικτο για να καλύψει μεγάλο αριθμό περιπτώσεων χρήσης. Για περισσότερες πληροφορίες σχετικά με αυτό το έργο, μπορείτε να επικοινωνήσετε με το ιστοσελίδα.