次の記事では、アラクニを見ていきます。 それは約 Rubyで開発されたフレームワーク Webアプリケーションスキャンのさまざまな機能をユーザーに提供するために作成されました。 2年間更新を受け取らなかったにもかかわらず、当時は分析と侵入テストの専門家に役立つと考えられていましたが、Webアプリケーションのセキュリティを評価するサーバー管理者やWebマスターにも役立つ可能性があります。
Es クロスプラットフォーム、Windows、Mac OS X、Gnu / Linuxなどの主要なオペレーティングシステムと互換性があります。 これは、即時展開を可能にするパッケージを通じて配布されます。 です フリー そのソースコードは公開されています。 GitHubページ.
何ですか 多数のユースケースをカバーするのに十分な汎用性シンプルなコマンドラインスキャナーユーティリティから、高性能スキャナーのグローバルグリッド、スクリプト監査用のRubyライブラリまで。 さらに、その単純なREST APIにより、統合が容易になります。
このフレームワークは、 スキャンプロセス中のWebアプリケーションの動作の監視と学習。 さらに、結果の信頼性を正しく評価し、誤検知を特定または回避するために、いくつかの要因を使用して分析を実行できます。
このスキャナーは、Webアプリケーションの動的な性質を考慮に入れます。 できる Webアプリケーションのパスをトラバースしている間に発生した変更を検出します、それに応じて調整することができます。 このようにして、人間以外の人が検出できない攻撃/侵入ベクトルを問題なく処理できます。
さらに、統合されたブラウザ環境により、 クライアント側のコードは監査および検査できます、JavaScript、HTML5、DOM操作、AJAXなどのテクノロジーを多用する複雑なWebアプリケーションをサポートします。
アラクニの一般的な特徴
- Cookie-jar / cookie-string、カスタムヘッダー、およびいくつかのオプションを含むSSLサポート。
- ユーザーエージェントのなりすまし。
- SOCKS4、SOCKS4A、SOCKS5、HTTP /1.1およびHTTP / 1.0のプロキシサポート。
- プロキシ認証。
- サイト認証(SSLベース、フォームベース、Cookie-Jar、Basic-Digest、NTLMv1、Kerberosなど)。
- スキャン中の自動ログアウトと再セッション検出。
- カスタム404ページの検出。
- コマンドラインインターフェイス.
- Webユーザーインターフェイス.
- 機能を一時停止/再開します。 Hibernateのサポート:ディスクからの一時停止と復元。
- 高性能の非同期HTTPリクエスト。
- サーバーのステータスを自動的に検出し、その同時実行性を自動的に調整する機能を備えています。
- パターンのペア(入力名と照合される)と、対応する入力を設定するために使用される値を使用した、カスタムのデフォルト入力値のサポート。
これらは機能のほんの一部です。 彼らはできます これらと他のすべてを詳細に見るで、 プロジェクトGitHubページ.
UbuntuにArachniスキャナーをインストールする
我々ができるようになります パッケージをダウンロードする プロジェクトのウェブサイトから必要 または、ターミナルを開いて(Ctrl + Alt + T)、次のコマンドを入力します。
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
今は ダウンロードしたパッケージを抽出します 同じ端末で次のコマンドを実行します。
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Arachniのスタートアップと基本的な使用法
我々ができるようになります ArachniWebインターフェイスを起動します 次のコマンドを使用します。
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
開始したら、 ブラウザを開き、URLとして書き込みます:
https://localhost:9292/users/sign_in/
デフォルトのユーザー名とパスワード。Wikiで見つけることができます。 これは上のスクリーンショットで見ることができます。 インターフェースに入ったら、新しい探索を開始するには、アイコンをクリックするだけです。+新しい'。
スキャンするURLを入力した後、をクリックして続行します Go 始めるために
これがスキャンの開始方法です。
スキャンが完了した後、 レポートをダウンロードする フォーマットを選択して[OK]をクリックするだけです。
要するに、 このスキャナーは、ここ数年アップデートを受け取っていません、それでも、多数のユースケースをカバーするのに十分な汎用性があります。 このプロジェクトの詳細については、 ウェブサイト.