अगले लेख में हम अरचनी पर एक नज़र डालने जा रहे हैं। यह एक के बारे में है रूबी के साथ ढांचा विकसित किया और वेब एप्लिकेशन स्कैनिंग के लिए उपयोगकर्ताओं को विभिन्न सुविधाएँ प्रदान करने के लिए बनाया गया है। 2 साल तक अद्यतन प्राप्त नहीं करने के बावजूद, इसके दिन में विश्लेषण और पैठ परीक्षणों में पेशेवरों की मदद के बारे में सोचा गया था, यह सर्वर प्रशासक या वेबमास्टर्स के लिए भी उपयोगी हो सकता है जो वेब अनुप्रयोगों की सुरक्षा का मूल्यांकन करते हैं।
Es पार मंच, विंडोज, मैक ओएस एक्स और ग्नू / लिनक्स जैसे मुख्य ऑपरेटिंग सिस्टम के साथ संगत है। यह उन पैकेजों के माध्यम से वितरित किया जाता है जो तत्काल तैनाती की अनुमति देते हैं। है मुक्त और इसका स्रोत कोड सार्वजनिक है, हम इसे आपके लिए उपलब्ध पा सकते हैं GitHub पेज.
क्या है उपयोग के मामलों की एक बड़ी संख्या को कवर करने के लिए पर्याप्त बहुमुखीएक साधारण कमांड लाइन स्कैनर उपयोगिता से उच्च प्रदर्शन वाले स्कैनर के वैश्विक ग्रिड और स्क्रिप्टेड ऑडिटिंग के लिए एक रूबी लाइब्रेरी। साथ ही, इसका सीधा REST API एकीकरण को आसान बनाता है।
इस ढांचे के माध्यम से ही प्रशिक्षित करता है स्कैनिंग प्रक्रिया के दौरान वेब एप्लिकेशन के व्यवहार की निगरानी और सीखना। इसके अलावा, आप परिणामों की विश्वसनीयता का सही आकलन करने और झूठी सकारात्मकता की पहचान करने या उससे बचने के लिए कई कारकों का उपयोग करके एक विश्लेषण कर सकते हैं।
यह स्कैनर वेब अनुप्रयोगों की गतिशील प्रकृति को ध्यान में रखेगा। कर सकते हैं वेब एप्लिकेशन के पथों को ट्रेस करते समय होने वाले परिवर्तनों का पता लगाएं, तदनुसार समायोजित करने में सक्षम होना। इस तरह, हमला / प्रवेश वैक्टर जो गैर-मानवीय व्यक्तियों द्वारा अन्यथा अवांछनीय होगा, बिना समस्याओं के निपट सकता है।
इसके अलावा, अपने एकीकृत ब्राउज़र वातावरण के कारण, यह भी क्लाइंट-साइड कोड का ऑडिट और निरीक्षण किया जा सकता हैसाथ ही जटिल वेब एप्लिकेशन का समर्थन करते हैं, जो जावास्क्रिप्ट, एचटीएमएल 5, डोम हेरफेर और AJAX जैसी प्रौद्योगिकियों का भारी उपयोग करते हैं।
अरचनि सामान्य लक्षण
- कुछ विकल्पों के साथ कुकी-जार / कुकी-स्ट्रिंग, कस्टम हेडर और एसएसएल समर्थन।
- उपयोगकर्ता एजेंट स्पूफिंग।
- SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 और HTTP / 1.0 के लिए प्रॉक्सी समर्थन।
- प्रॉक्सी प्रमाणीकरण।
- साइट प्रमाणीकरण (एसएसएल-आधारित, फॉर्म-आधारित, कुकी-जार, बेसिक-डाइजेस्ट, एनटीएलएमवी 1, केर्बरोस और अन्य)।
- स्कैनिंग के दौरान स्वचालित लॉग-आउट और पुन: सत्र का पता लगाना।
- कस्टम 404 पृष्ठ का पता लगाना।
- कमांड लाइन इंटरफेस.
- वेब यूजर इंटरफेस.
- कार्यक्षमता को रोकें / फिर से शुरू करें। हाइबरनेट समर्थन: डिस्क से निलंबित करें और पुनर्स्थापित करें।
- उच्च प्रदर्शन अतुल्यकालिक HTTP अनुरोध।
- स्वचालित रूप से सर्वर की स्थिति का पता लगाने और इसकी संगणना को स्वचालित रूप से समायोजित करने की क्षमता के साथ।
- कस्टम डिफ़ॉल्ट इनपुट मूल्यों के लिए समर्थन, पैटर्न के जोड़े का उपयोग (इनपुट नामों के खिलाफ मिलान किया जाना) और संबंधित इनपुट को पॉप्युलेट करने के लिए उपयोग किए जाने वाले मान।
ये कुछ विशेषताएं हैं। वे कर सकते हैं इन और अन्य सभी को विस्तार से देखेंमें GitHub पेज को प्रोजेक्ट करें.
Ubuntu पर Arachni स्कैनर स्थापित करें
हम कर सकेंगे पैकेज डाउनलोड करें आवश्यक या तो परियोजना की वेबसाइट से या एक टर्मिनल खोलकर (Ctrl + Alt + T) और उसमें निम्न कमांड टाइप करें:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
अब हमारे पास केवल है डाउनलोड किए गए पैकेज को निकालें उसी टर्मिनल में निम्न कमांड चलाना:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
अर्चिनी स्टार्टअप और बेसिक यूसेज
हम कर सकेंगे Arachni वेब इंटरफेस लॉन्च निम्नलिखित आदेश के साथ:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
एक बार शुरू करने के बाद, हम करेंगे ब्राउज़र खोलें और URL के रूप में हम लिखेंगे:
https://localhost:9292/users/sign_in/
डिफ़ॉल्ट उपयोगकर्ता नाम और पासवर्ड, हम उन्हें विकी में पा सकते हैं जिसे उपरोक्त स्क्रीनशॉट में देखा जा सकता है। एक बार इंटरफ़ेस में, एक नया अन्वेषण शुरू करने के लिए, हमें केवल आइकन पर क्लिक करना होगा '+ नया'.
स्कैन करने के लिए URL दर्ज करने के बाद, हम पर क्लिक करके जारी रखते हैं Go शुरू करने के लिए
इस तरह स्कैन शुरू होता है।
स्कैन पूरा होने के बाद, को रिपोर्ट डाउनलोड करें बस हमें फॉर्मेट चुनना है और ओके पर क्लिक करना है।
संक्षेप में, भले ही इस स्कैनर को अभी कुछ सालों से अपडेट नहीं मिला है, यह अभी भी पर्याप्त बहुमुखी है उपयोग की बड़ी संख्या को कवर करने के लिए। इस परियोजना के बारे में अधिक जानकारी के लिए, आप अपने से संपर्क कर सकते हैं वेबसाइट.