Järgmises artiklis heidame pilgu Arachnile. See on umbes a koos Rubyga välja töötatud raamistik ja loodud selleks, et pakkuda kasutajatele veebirakenduste skannimiseks erinevaid funktsioone. Hoolimata sellest, et värskendusi ei saadud 2 aastat, arvati omal ajal, et see on analüüsi- ja läbitungimistestide spetsialistidele abiks, kuid see võib olla kasulik ka serveriradministraatoritele või veebihalduritele, kes hindavad veebirakenduste turvalisust.
Es ristplatvorm, ühildub peamiste operatsioonisüsteemidega, nagu Windows, Mac OS X ja Gnu / Linux. Seda levitatakse pakettide kaudu, mis võimaldavad kohest juurutamist. On tasuta ja selle lähtekood on avalik, leiame, et see on teie saidil saadaval GitHubi leht.
Kas mida piisavalt mitmekülgne, et katta suur hulk kasutusjuhtumeidAlates lihtsast käsurea skanneri utiliidist kuni ülitõhusate skannerite ülemaailmse ruudustikuni ja skriptitud auditeerimise Ruby teeki. Lisaks muudab selle sirgjooneline REST API integreerimise lihtsaks.
See raamistik treenib ennast läbi veebirakenduse käitumise jälgimine ja õppimine skannimisprotsessi ajal. Lisaks saate tulemuste usaldusväärsuse õigeks hindamiseks ja valepositiivsuste tuvastamiseks või vältimiseks teha analüüsi, kasutades mitut tegurit.
See skanner võtab arvesse veebirakenduste dünaamilist olemust. Saab tuvastama veebirakenduse radadel kõndimisel tekkinud muudatused, vastavalt sellele kohaneda. Nii saab probleemideta toime tulla rünnaku- / sisenemisvektoritega, mida muul viisil inimesed ei tuvastaks.
Lisaks on see integreeritud brauserikeskkonna tõttu ka kliendipoolset koodi saab kontrollida ja kontrollida, samuti keerukate veebirakenduste toetamine, mis kasutavad palju selliseid tehnoloogiaid nagu JavaScripti, HTML5, DOM-i manipuleerimist ja AJAX-i.
Arahhi üldised omadused
- Mõnede valikutega küpsisepurk / küpsise string, kohandatud päis ja SSL-i tugi.
- Kasutajaagendi võltsimine.
- Puhverserveri tugi SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 ja HTTP / 1.0 jaoks.
- Puhverserveri autentimine.
- Saidi autentimine (SSL-põhine, vormipõhine, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos jt).
- Automaatne väljalogimine ja seansi uuesti tuvastamine skannimise ajal.
- Kohandatud 404 lehe tuvastamine.
- Käsurea liides.
- Veebi kasutajaliides.
- Funktsioonide peatamine / jätkamine. Talveunerežiimi tugi: kettalt peatamine ja taastamine.
- Suure jõudlusega asünkroonsed HTTP-päringud.
- Võimalusega automaatselt tuvastada serveri olek ja kohandada selle samaaegsust automaatselt.
- Kohandatud vaikimisi sisendväärtuste tugi, kasutades mustripaare (võrrelda sisendinimedega) ja väärtusi, mida kasutatakse vastavate sisendite täitmiseks.
Need on vaid mõned funktsioonid. Nad saavad vaata neid ja kõiki teisi üksikasjalikult, In projekti GitHubi leht.
Installige Arachni skanner Ubuntu
Saame hakkama laadige pakett alla vajalik kas projekti veebisaidilt või avades terminal (Ctrl + Alt + T) ja tippides sinna järgmise käsu:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Nüüd on meil ainult allalaaditud paketi väljavõte järgmise käsu käivitamine samas terminalis:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Arachni käivitamine ja põhikasutus
Saame hakkama käivitage Arachni veebiliides järgmise käsuga:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
Kui see on alustatud, siis me ka teeme avage brauser ja URL-iga me kirjutame:
https://localhost:9292/users/sign_in/
Vaikimisi kasutajanimi ja parool leiame need Wikist mida saab näha ülaltoodud ekraanipildil. Kui olete liidesesse jõudnud, peame uue uurimise alustamiseks klõpsama ainult ikoonil "+ Uus'.
Pärast skannimiseks URL-i sisestamist jätkame klõpsates nuppu Go alustada
Nii algab skannimine.
Pärast skannimise lõppu to aruanne alla laadida peame vaid valima vormingu ja klõpsama nuppu OK.
Ühesõnaga, kuigi See skanner pole juba paar aastat värskendusi saanud, on see endiselt piisavalt mitmekülgne, et hõlmata paljusid kasutusjuhtumeid. Selle projekti kohta lisateabe saamiseks võite ühendust võtta oma ettevõttega veebisait.