Arachni, uno scanner di applicazioni web su Ubuntu

Damián A.

4 minuti

sugli arachni

Nel prossimo articolo daremo uno sguardo ad Arachni. Si tratta di una framework sviluppato con Ruby e creato per offrire agli utenti diverse funzionalità per la scansione delle applicazioni web. Nonostante non riceva aggiornamenti da 2 anni, ai suoi tempi si pensava fosse di aiuto ai professionisti in analisi e penetration test, può essere utile anche per amministratori di server o webmaster che valutano la sicurezza delle applicazioni web.

Es multipiattaforma, compatibile con i principali sistemi operativi come Windows, Mac OS X e Gnu / Linux. È distribuito tramite pacchetti che consentono la distribuzione immediata. È gratuito e il suo codice sorgente è pubblico, possiamo trovarlo disponibile nel tuo file Pagina GitHub.

È cosa abbastanza versatile da coprire un gran numero di casi d'usoDa una semplice utilità di scansione della riga di comando a una griglia globale di scanner ad alte prestazioni e una libreria Ruby che consente l'auditing con script. Inoltre, la sua semplice API REST semplifica l'integrazione.

Questo framework si allena da solo monitoraggio e apprendimento del comportamento dell'applicazione web durante il processo di scansione. Inoltre, è possibile eseguire un'analisi utilizzando una serie di fattori per valutare correttamente l'affidabilità dei risultati e identificare o evitare falsi positivi.

Questo scanner terrà conto della natura dinamica delle applicazioni web. Può rilevare i cambiamenti causati durante l'attraversamento dei percorsi di un'applicazione web, potendo regolare di conseguenza. In questo modo, i vettori di attacco / ingresso che altrimenti non sarebbero rilevabili da persone non umane possono essere gestiti senza problemi.

Inoltre, grazie al suo ambiente browser integrato, anche il codice lato client può essere verificato e ispezionato, oltre a supportare applicazioni web complicate, che fanno un uso massiccio di tecnologie come JavaScript, HTML5, manipolazione DOM e AJAX.

Caratteristiche generali di Arachni

  • Cookie-jar / cookie-string, intestazione personalizzata e supporto SSL con alcune opzioni.
  • Lo spoofing dell'agente utente.
  • Supporto proxy per SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 e HTTP / 1.0.
  • Autenticazione proxy.
  • Autenticazione del sito (basata su SSL, basata su moduli, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos e altri).
  • Disconnessione automatica e rilevamento di una nuova sessione durante la scansione.
  • Rilevamento di pagine 404 personalizzate.
  • Interfaccia a riga di comando.
  • Interfaccia utente Web.
  • Metti in pausa / riprendi la funzionalità. Supporto per ibernazione: sospendi e ripristina da disco.
  • Richieste HTTP asincrone ad alte prestazioni.
  • Con la capacità di rilevare automaticamente lo stato del server e regolare automaticamente la sua concorrenza.
  • Supporto per valori di input predefiniti personalizzati, utilizzando coppie di modelli (da confrontare con i nomi di input) e valori da utilizzare per compilare gli input corrispondenti.

Queste sono solo alcune delle caratteristiche. Può essere guarda questi e tutti gli altri in dettaglio, Nel pagina GitHub del progetto.

analizzatore web di spaghetti logo
Articolo correlato:
Spaghetti, analizza la sicurezza delle tue applicazioni Web

Installa lo scanner Arachni su Ubuntu

Saremo in grado scarica il pacchetto necessario sia dal sito web del progetto o aprendo un terminale (Ctrl + Alt + T) e digitando il seguente comando al suo interno:

avvia il download con wget 

wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz

Ora abbiamo solo estrai il pacchetto scaricato eseguendo il seguente comando nello stesso terminale:

tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz

Avvio e utilizzo di base di Arachni

Saremo in grado avviare l'interfaccia web di Arachni con il seguente comando:

avviare l'interfaccia web di arachni 

~/arachni-1.5.1-0.5.12/bin$ ./arachni_web

Una volta iniziato, lo faremo apri il browser e come URL scriveremo:

schermata iniziale web di arachni 

https://localhost:9292/users/sign_in/

Il nome utente e la password predefiniti, possiamo trovarli sul Wiki che può essere visto nello screenshot qui sopra. Una volta nell'interfaccia, per iniziare una nuova esplorazione, dovremo solo cliccare sull'icona '+ Nuovo'.

avvia la scansione con arachni

Dopo aver inserito l'URL da scansionare, continuiamo facendo clic su Go iniziare.

inizia scansione

Ecco come inizia la scansione.

scansione in corso

Al termine della scansione, in scarica il report tutto quello che dobbiamo fare è scegliere il formato e fare clic su OK.

Insomma, anche se Questo scanner non riceve aggiornamenti da un paio d'anni, è ancora abbastanza versatile da coprire un gran numero di casi d'uso. Per ulteriori informazioni su questo progetto, puoi contattare il tuo pagina web.


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.