Nākamajā rakstā mēs apskatīsim Arachni. Tas ir par a ietvars izstrādāts kopā ar Rubīnu un izveidots, lai lietotājiem piedāvātu dažādas tīmekļa lietojumprogrammu skenēšanas funkcijas. Neskatoties uz to, ka 2 gadus nesaņēma atjauninājumus, tika uzskatīts, ka tā savā laikā ir noderīga profesionāļiem analīzes un iespiešanās testos, tā var būt noderīga arī serveru administratoriem vai tīmekļa pārziņiem, kuri novērtē tīmekļa lietojumprogrammu drošību.
Es pārrobežu platforma, saderīgs ar galvenajām operētājsistēmām, piemēram, Windows, Mac OS X un Gnu / Linux. To izplata caur pakotnēm, kas ļauj to nekavējoties izvietot. Ir bezmaksas un tā pirmkods ir publisks, mēs varam atrast to pieejamu jūsu vietnē GitHub lapa.
Ir kas pietiekami universāls, lai aptvertu lielu skaitu lietojuma gadījumuSākot no vienkāršas komandrindas skenera utilītas līdz visaptverošam augstas veiktspējas skeneru tīklam un Ruby bibliotēkai skriptu auditēšanai. Turklāt tā vienkāršā REST API atvieglo integrāciju.
Šis ietvars trenējas caur sevi tīmekļa lietojumprogrammas uzvedības uzraudzība un mācīšanās skenēšanas procesā. Turklāt jūs varat veikt analīzi, izmantojot vairākus faktorus, lai pareizi novērtētu rezultātu ticamību un identificētu vai izvairītos no nepatiesiem pozitīviem rezultātiem.
Šis skeneris ņems vērā tīmekļa lietojumprogrammu dinamisko raksturu. Var atklāt izmaiņas, kas radušās, šķērsojot tīmekļa lietojumprogrammas ceļus, spējot attiecīgi pielāgoties. Tādā veidā bez problēmām var tikt galā ar uzbrukuma / iekļūšanas vektoriem, kurus citādi cilvēki, kas nav cilvēki, nevarētu atklāt.
Turklāt, pateicoties tā integrētajai pārlūka videi, tā arī klienta puses kodu var pārbaudīt un pārbaudītkā arī atbalstīt sarežģītas tīmekļa lietojumprogrammas, kurās intensīvi tiek izmantotas tādas tehnoloģijas kā JavaScript, HTML5, DOM manipulācijas un AJAX.
Arachni vispārīgās īpašības
- Cookie-jar / cookie-string, pielāgota galvene un SSL atbalsts ar dažām opcijām.
- Lietotāju aģentu mānīšana.
- Starpniekservera atbalsts SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 un HTTP / 1.0.
- Starpniekservera autentifikācija.
- Vietnes autentifikācija (pamatojoties uz SSL, veidlapām, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos un citiem).
- Automātiska atteikšanās un atkārtotas sesijas noteikšana skenēšanas laikā.
- Pielāgota 404 lapu noteikšana.
- Komandrindas saskarne.
- Tīmekļa lietotāja saskarne.
- Pārtraukt / atsākt funkcionalitāti. Hibernācijas atbalsts: apturēt un atjaunot no diska.
- Augstas veiktspējas asinhronie HTTP pieprasījumi.
- Ar iespēju automātiski noteikt servera statusu un automātiski pielāgot tā vienlaicīgumu.
- Atbalsts pielāgotajām noklusējuma ievades vērtībām, izmantojot modeļu pārus (jāsaskaņo ar ievades nosaukumiem) un vērtības, kas jāizmanto, lai aizpildītu atbilstošās ievades.
Šīs ir tikai dažas funkcijas. Viņi var redzēt šos un visus pārējos detalizēti, In projekta GitHub lapa.
Instalējiet Arachni skeneri Ubuntu
Mēs varēsim lejupielādējiet paketi nepieciešams vai nu no projekta tīmekļa vietnes vai atverot termināli (Ctrl + Alt + T) un ierakstot tajā šādu komandu:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Tagad mums ir tikai izvilkt lejupielādēto pakotni šajā komandā palaižot šādu komandu:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Arachni startēšana un pamata lietošana
Mēs varēsim palaidiet Arachni tīmekļa saskarni ar šādu komandu:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
Kad tas ir sākts, mēs to darīsim atveriet pārlūkprogrammu un kā URL mēs rakstīsim:
https://localhost:9292/users/sign_in/
Noklusējuma lietotājvārds un parole mēs tos varam atrast Wiki ko var redzēt iepriekš redzamajā ekrānuzņēmumā. Kad esat saskarnē, lai sāktu jaunu izpēti, mums būs tikai jānoklikšķina uz ikonas.+ Jauns".
Pēc skenējamā URL ievadīšanas mēs turpinām, noklikšķinot uz Go lai sāktu
Tā sākas skenēšana.
Pēc skenēšanas pabeigšanas uz lejupielādēt pārskatu mums tikai jāizvēlas formāts un noklikšķiniet uz Labi.
Īsāk sakot, lai arī Šis skeneris jau pāris gadus nav saņēmis atjauninājumus, tas joprojām ir pietiekami daudzpusīgs, lai aptvertu lielu skaitu lietojuma gadījumu. Lai iegūtu vairāk informācijas par šo projektu, varat sazināties ar savu Mājas.