Arachni, egy webalkalmazás-szkenner az Ubuntuban

Damián A.

4 perc

arachniról

A következő cikkben Arachnit vesszük szemügyre. Arról szól a Ruby-val kifejlesztett keretrendszer és azért hozták létre, hogy a felhasználók számára a webalkalmazások szkennelésének különböző szolgáltatásait kínálják. Annak ellenére, hogy 2 évig nem kapott frissítéseket, annak idején úgy gondolták, hogy segítséget nyújt a szakembereknek az elemzésben és a penetrációs tesztekben, de hasznos lehet a szerver-rendszergazdák vagy webmesterek számára is, akik értékelik a webalkalmazások biztonságát.

Es cross platform, kompatibilis a fő operációs rendszerekkel, például a Windows, a Mac OS X és a Gnu / Linux. Azonnali telepítést lehetővé tevő csomagokon keresztül terjesztik. Is ingyenes forráskódja pedig nyilvános, elérhetőnek találhatjuk a GitHub oldal.

Az mi elég sokoldalú ahhoz, hogy számos felhasználási esetet lefedjenAz egyszerű parancssori szkenner segédprogramtól a nagy teljesítményű szkennerek globális hálózatáig és a Ruby könyvtárig a szkriptelt auditáláshoz. Ráadásul az egyszerű REST API megkönnyíti az integrációt.

Ez a keret önmagát képezi a webalkalmazás viselkedésének figyelemmel kísérése és megtanulása a szkennelési folyamat során. Ezenkívül számos tényező segítségével elemzést hajthat végre az eredmények megbízhatóságának helyes felmérése és a hamis pozitív eredmények azonosítása vagy elkerülése érdekében.

Ez a szkenner figyelembe veszi a webalkalmazások dinamikus jellegét. Tud észleli a webalkalmazás útvonalain való áthaladás során okozott változásokat, képes ennek megfelelően beállítani. Ily módon azok a támadási / belépési vektorok problémamentesen kezelhetők, amelyeket más emberek nem tudnának kimutatni.

Továbbá, integrált böngészőkörnyezete miatt, szintén az ügyféloldali kód ellenőrizhető és ellenőrizhetővalamint olyan bonyolult webalkalmazások támogatása, amelyek nagy mértékben kihasználják az olyan technológiákat, mint a JavaScript, a HTML5, a DOM manipuláció és az AJAX.

Arachni általános jellemzői

  • Cookie-jar / cookie-string, egyedi fejléc és SSL támogatás néhány lehetőséggel.
  • Felhasználói ügynök hamisítása.
  • Proxy támogatás a SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 és HTTP / 1.0 számára.
  • Proxy hitelesítés.
  • Webhely-hitelesítés (SSL-alapú, Forms-alapú, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos és mások).
  • Automatikus kijelentkezés és újbóli munkamenet-észlelés szkennelés közben.
  • Egyéni 404 oldalérzékelés.
  • Parancssori felület.
  • Webes felhasználói felület.
  • A funkció szüneteltetése / folytatása. Hibernálás támogatás: felfüggesztés és visszaállítás lemezről.
  • Nagy teljesítményű aszinkron HTTP kérések.
  • A szerver állapotának automatikus észlelésével és az egyidejűség automatikus beállításával.
  • Támogatja az alapértelmezett bemeneti értékeket, párosított mintákkal (amelyeket be kell illeszteni a bemeneti nevekbe), valamint a megfelelő bemenetek feltöltésére használt értékeket.

Ez csak néhány jellemző. Ők tudnak lásd ezeket és az összes többit részletesen, a projekt GitHub oldal.

logó spagetti webanalizátor
Kapcsolódó cikk:
Spagetti, ellenőrizze a webalkalmazások biztonságát

Telepítse az Arachni szkennert az Ubuntu-ra

Képesek leszünk töltse le a csomagot szükséges akár a projekt honlapjáról vagy egy terminál megnyitásával (Ctrl + Alt + T), és írja be a következő parancsot:

indítsa el a letöltést a wget segítségével 

wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz

Most már csak van bontsa ki a letöltött csomagot a következő parancs futtatása ugyanazon a terminálon:

tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz

Arachni indítás és alapvető használat

Képesek leszünk indítsa el az Arachni webes felületet a következő paranccsal:

indítsa el az arachni webes felületet 

~/arachni-1.5.1-0.5.12/bin$ ./arachni_web

Miután elkezdtük, megtesszük nyissa meg a böngészőt, és URL-ként megírjuk:

arachni webes kezdőképernyője 

https://localhost:9292/users/sign_in/

Az alapértelmezett felhasználónevet és jelszót megtalálhatjuk a Wikiben ami a fenti képernyőképen látható. Miután beléptünk a felületre, új felfedezés megkezdéséhez csak az ikonra kell kattintanunk '+ Új".

indítsa el a vizsgálatot arachni-val

A beolvasandó URL megadása után a gombra kattintva folytatjuk Go kezdeni

indítsa el a szkennelést

Így kezdődik a beolvasás.

szkennelés folyamatban

A beolvasás befejezése után a töltse le a jelentést csak annyit kell tennünk, hogy kiválasztjuk a formátumot, és kattintson az OK gombra.

Röviden, pedig Ez a szkenner néhány éve nem kapott frissítéseket, még mindig elég sokoldalú, hogy számos felhasználási esetet lefedjen. Ha további információra van szüksége a projektről, forduljon a weboldal.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.