पुढच्या लेखात आपण अर्चनाची माहिती घेणार आहोत. हे सुमारे एक आहे रुबी सह फ्रेमवर्क विकसित आणि वेब अनुप्रयोग स्कॅनिंगसाठी वापरकर्त्यांना भिन्न वैशिष्ट्ये ऑफर करण्यासाठी तयार केले. 2 वर्षांपासून अद्यतने न मिळाल्या तरीही, त्या दिवसात विश्लेषण आणि भेदक चाचणीच्या व्यावसायिकांना हे उपयोगी ठरेल असे मानले जात होते, ते सर्व्हर प्रशासक किंवा वेब अनुप्रयोगांच्या सुरक्षिततेचे मूल्यांकन करणारे वेबमास्टर देखील उपयुक्त ठरू शकते.
Es क्रॉस प्लॅटफॉर्म, विंडोज, मॅक ओएस एक्स आणि ग्नू / लिनक्स सारख्या मुख्य ऑपरेटिंग सिस्टमशी सुसंगत. हे पॅकेजद्वारे वितरीत केले जाते जे त्वरित तैनातीस परवानगी देतात. आहे विनामूल्य आणि त्याचा स्त्रोत कोड सार्वजनिक आहे, आम्हाला तो आपल्यामध्ये उपलब्ध आहे GitHub पृष्ठ.
काय आहे मोठ्या संख्येने वापर प्रकरणे कव्हर करण्यासाठी अष्टपैलूसाध्या कमांड लाइन स्कॅनर युटिलिटीपासून उच्च-कार्यक्षमता स्कॅनर्सच्या जागतिक ग्रीडपर्यंत आणि स्क्रिप्ट्ट ऑडिटसाठी रुबी लायब्ररी. शिवाय, त्याचे सरळ रेस्ट आरपीआय एकत्रीकरण सुलभ करते.
ही चौकट स्वतःच प्रशिक्षित करते स्कॅनिंग प्रक्रियेदरम्यान वेब अनुप्रयोगाचे वर्तन देखरेख करणे आणि शिकणे. याव्यतिरिक्त, आपण परिणामांची विश्वासार्हता योग्यरित्या मूल्यांकन करण्यासाठी आणि चुकीचे सकारात्मक ओळखणे किंवा टाळण्यासाठी असंख्य घटकांचा वापर करून विश्लेषण करू शकता.
हे स्कॅनर वेब अनुप्रयोगांचे गतिशील स्वरूप लक्षात घेईल. करू शकता वेब अनुप्रयोगाचा पथ फिरताना होणारे बदल शोधा, त्यानुसार समायोजित करण्यास सक्षम. अशाप्रकारे, आक्रमण / प्रविष्टी वेक्टर जे अन्यथा मानव-नसलेल्या व्यक्तींकडे शोधण्यायोग्य नसतात त्यांना समस्यांशिवाय हाताळले जाऊ शकते.
शिवाय, त्याच्या एकाग्र ब्राउझर वातावरणामुळे, ते देखील क्लायंट-साइड कोडचे ऑडिट आणि तपासणी केली जाऊ शकतेतसेच जटिल वेब अनुप्रयोगांना समर्थन देतात, जे जावास्क्रिप्ट, एचटीएमएल 5, डीओएम मॅनिपुलेशन आणि एजेएक्स सारख्या तंत्रज्ञानाचा जबरदस्त वापर करतात.
अरचनी सामान्य वैशिष्ट्ये
- कुकी-जार / कुकी-स्ट्रिंग, सानुकूल शीर्षलेख आणि काही पर्यायांसह एसएसएल समर्थन.
- वापरकर्ता एजंट स्पूफिंग.
- SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 आणि HTTP / 1.0 करीता प्रॉक्सी समर्थन.
- प्रॉक्सी प्रमाणीकरण.
- साइट प्रमाणीकरण (एसएसएल-आधारित, फॉर्म-आधारित, कुकी-जार, बेसिक-डायजेस्ट, एनटीएलएमव्ही 1, केर्बेरोस आणि इतर).
- स्कॅनिंग दरम्यान स्वयंचलित लॉग आउट आणि पुन्हा सत्र शोध.
- सानुकूल 404 पृष्ठ शोध.
- कमांड लाइन इंटरफेस.
- वेब वापरकर्ता इंटरफेस.
- कार्यक्षमता विराम द्या / पुन्हा सुरू करा. हायबरनेट समर्थन: निलंबित करा आणि डिस्कवरून पुनर्संचयित करा.
- उच्च-कार्यप्रदर्शन अतुल्यकालिक HTTP विनंत्या.
- सर्व्हरची स्थिती स्वयंचलितपणे शोधण्याची आणि आपोआप तिची पूर्तता समायोजित करण्याच्या क्षमतेसह.
- सानुकूल डीफॉल्ट इनपुट मूल्यांसाठी समर्थन, नमुन्यांची जोड (इनपुट नावांशी जुळण्यासाठी) आणि संबंधित इनपुट लोकप्रिय करण्यासाठी वापरली जाणारी मूल्ये.
ही काही वैशिष्ट्ये आहेत. ते करू शकतात हे आणि इतर सर्व तपशील पहामध्ये प्रकल्प GitHub पृष्ठ.
उबंटूवर अरचनी स्कॅनर स्थापित करा
आम्ही सक्षम होऊ पॅकेज डाउनलोड करा एकतर प्रकल्प वेबसाइटवरून आवश्यक किंवा टर्मिनल (Ctrl + Alt + T) उघडून आणि त्यामध्ये खालील आदेश टाइप करुन:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
आता आपल्याकडे फक्त आहे डाउनलोड केलेले पॅकेज प्राप्त करा त्याच टर्मिनलमध्ये खालील कमांड चालवित आहोत.
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
अरचनी स्टार्टअप आणि मूलभूत वापर
आम्ही सक्षम होऊ अरचनी वेब इंटरफेस लॉन्च करा पुढील आदेशासह:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
एकदा सुरुवात केली की आम्ही करू ब्राउझर उघडा आणि URL म्हणून आम्ही लिहू:
https://localhost:9292/users/sign_in/
डीफॉल्ट वापरकर्तानाव आणि संकेतशब्द, आम्ही ते विकीमध्ये शोधू शकतो जे वरील स्क्रीनशॉटमध्ये पाहिले जाऊ शकते. इंटरफेसमध्ये एकदा, नवीन शोध सुरू करण्यासाठी, आम्हाला फक्त चिन्हावर क्लिक करावे लागेल+ नवीन'.
स्कॅन करण्यासाठी URL प्रविष्ट केल्यानंतर आम्ही त्यावर क्लिक करून सुरू ठेवतो Go सुरू करण्यासाठी
अशाप्रकारे स्कॅन सुरू होते.
स्कॅन पूर्ण झाल्यानंतर, वर अहवाल डाउनलोड करा आपल्याला करायचे आहे ते स्वरूप निवडा आणि ओके क्लिक करा.
थोडक्यात, जरी या स्कॅनरला कित्येक वर्ष अद्यतने मिळाली नाहीत, मोठ्या संख्येने वापर प्रकरणे व्यापण्यासाठी हे अद्याप अष्टपैलू आहे. या प्रकल्पाबद्दल अधिक माहितीसाठी आपण आपल्याशी संपर्क साधू शकता वेब पेज.