A következő cikkben Arachnit vesszük szemügyre. Arról szól a Ruby-val kifejlesztett keretrendszer és azért hozták létre, hogy a felhasználók számára a webalkalmazások szkennelésének különböző szolgáltatásait kínálják. Annak ellenére, hogy 2 évig nem kapott frissítéseket, annak idején úgy gondolták, hogy segítséget nyújt a szakembereknek az elemzésben és a penetrációs tesztekben, de hasznos lehet a szerver-rendszergazdák vagy webmesterek számára is, akik értékelik a webalkalmazások biztonságát.
Es cross platform, kompatibilis a fő operációs rendszerekkel, például a Windows, a Mac OS X és a Gnu / Linux. Azonnali telepítést lehetővé tevő csomagokon keresztül terjesztik. Is ingyenes forráskódja pedig nyilvános, elérhetőnek találhatjuk a GitHub oldal.
Az mi elég sokoldalú ahhoz, hogy számos felhasználási esetet lefedjenAz egyszerű parancssori szkenner segédprogramtól a nagy teljesítményű szkennerek globális hálózatáig és a Ruby könyvtárig a szkriptelt auditáláshoz. Ráadásul az egyszerű REST API megkönnyíti az integrációt.
Ez a keret önmagát képezi a webalkalmazás viselkedésének figyelemmel kísérése és megtanulása a szkennelési folyamat során. Ezenkívül számos tényező segítségével elemzést hajthat végre az eredmények megbízhatóságának helyes felmérése és a hamis pozitív eredmények azonosítása vagy elkerülése érdekében.
Ez a szkenner figyelembe veszi a webalkalmazások dinamikus jellegét. Tud észleli a webalkalmazás útvonalain való áthaladás során okozott változásokat, képes ennek megfelelően beállítani. Ily módon azok a támadási / belépési vektorok problémamentesen kezelhetők, amelyeket más emberek nem tudnának kimutatni.
Továbbá, integrált böngészőkörnyezete miatt, szintén az ügyféloldali kód ellenőrizhető és ellenőrizhetővalamint olyan bonyolult webalkalmazások támogatása, amelyek nagy mértékben kihasználják az olyan technológiákat, mint a JavaScript, a HTML5, a DOM manipuláció és az AJAX.
Arachni általános jellemzői
- Cookie-jar / cookie-string, egyedi fejléc és SSL támogatás néhány lehetőséggel.
- Felhasználói ügynök hamisítása.
- Proxy támogatás a SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 és HTTP / 1.0 számára.
- Proxy hitelesítés.
- Webhely-hitelesítés (SSL-alapú, Forms-alapú, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos és mások).
- Automatikus kijelentkezés és újbóli munkamenet-észlelés szkennelés közben.
- Egyéni 404 oldalérzékelés.
- Parancssori felület.
- Webes felhasználói felület.
- A funkció szüneteltetése / folytatása. Hibernálás támogatás: felfüggesztés és visszaállítás lemezről.
- Nagy teljesítményű aszinkron HTTP kérések.
- A szerver állapotának automatikus észlelésével és az egyidejűség automatikus beállításával.
- Támogatja az alapértelmezett bemeneti értékeket, párosított mintákkal (amelyeket be kell illeszteni a bemeneti nevekbe), valamint a megfelelő bemenetek feltöltésére használt értékeket.
Ez csak néhány jellemző. Ők tudnak lásd ezeket és az összes többit részletesen, a projekt GitHub oldal.
Telepítse az Arachni szkennert az Ubuntu-ra
Képesek leszünk töltse le a csomagot szükséges akár a projekt honlapjáról vagy egy terminál megnyitásával (Ctrl + Alt + T), és írja be a következő parancsot:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Most már csak van bontsa ki a letöltött csomagot a következő parancs futtatása ugyanazon a terminálon:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Arachni indítás és alapvető használat
Képesek leszünk indítsa el az Arachni webes felületet a következő paranccsal:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
Miután elkezdtük, megtesszük nyissa meg a böngészőt, és URL-ként megírjuk:
https://localhost:9292/users/sign_in/
Az alapértelmezett felhasználónevet és jelszót megtalálhatjuk a Wikiben ami a fenti képernyőképen látható. Miután beléptünk a felületre, új felfedezés megkezdéséhez csak az ikonra kell kattintanunk '+ Új".
A beolvasandó URL megadása után a gombra kattintva folytatjuk Go kezdeni
Így kezdődik a beolvasás.
A beolvasás befejezése után a töltse le a jelentést csak annyit kell tennünk, hogy kiválasztjuk a formátumot, és kattintson az OK gombra.
Röviden, pedig Ez a szkenner néhány éve nem kapott frissítéseket, még mindig elég sokoldalú, hogy számos felhasználási esetet lefedjen. Ha további információra van szüksége a projektről, forduljon a weboldal.