Dalam artikel seterusnya kita akan melihat Arachni. Ini mengenai a rangka kerja yang dibangunkan dengan Ruby dan dibuat untuk menawarkan pengguna pelbagai ciri untuk pengimbasan aplikasi web. Meskipun tidak menerima kemas kini selama 2 tahun, pada masa itu dianggap bermanfaat bagi para profesional dalam ujian analisis dan penembusan, ia juga berguna untuk pentadbir pelayan atau webmaster yang menilai keselamatan aplikasi web.
Es platform salib, serasi dengan sistem operasi utama seperti Windows, Mac OS X dan Gnu / Linux. Ia diedarkan melalui pakej yang membolehkan penggunaan segera. Adakah percuma dan kod sumbernya bersifat umum, kami dapat menemuinya di dalam anda Halaman GitHub.
Adalah apa cukup serba boleh untuk merangkumi sebilangan besar kes penggunaanDari utiliti pengimbas baris perintah sederhana ke grid pengimbas berprestasi tinggi global dan perpustakaan Ruby untuk pengauditan skrip. Plus, REST API yang mudah menjadikan integrasi menjadi mudah.
Rangka kerja ini melatih dirinya sendiri memantau dan mempelajari tingkah laku aplikasi web semasa proses imbasan. Di samping itu, anda boleh melakukan analisis menggunakan sebilangan faktor untuk menilai kebolehpercayaan hasil dengan betul dan mengenal pasti atau mengelakkan positif yang salah.
Pengimbas ini akan mengambil kira sifat aplikasi web yang dinamik. Boleh mengesan perubahan yang disebabkan semasa melintasi laluan aplikasi web, dapat menyesuaikan dengan sewajarnya. Dengan cara ini, vektor serangan / masuk yang tidak dapat dikesan oleh orang bukan manusia dapat ditangani tanpa masalah.
Selain itu, kerana persekitaran penyemak imbasnya yang bersepadu, ia juga kod sisi pelanggan boleh diaudit dan diperiksaserta menyokong aplikasi web yang rumit, yang menggunakan teknologi secara intensif seperti JavaScript, HTML5, manipulasi DOM dan AJAX.
Ciri umum Arachni
- Cookie-jar / cookie-string, header tersuai dan sokongan SSL dengan beberapa pilihan.
- Ejen pengguna palsu.
- Sokongan proksi untuk SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 dan HTTP / 1.0.
- Pengesahan proksi.
- Pengesahan laman web (berasaskan SSL, berasaskan borang, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos, dan lain-lain).
- Log keluar automatik dan pengesanan sesi semula semasa mengimbas.
- Pengesanan halaman 404 tersuai.
- Antara muka baris arahan.
- Antara muka pengguna web.
- Jeda / sambung semula fungsi. Sokongan hibernate: menangguhkan dan memulihkan dari cakera.
- Permintaan HTTP tak segerak berprestasi tinggi.
- Dengan kemampuan untuk mengesan status pelayan secara automatik dan menyesuaikan kesesuaiannya secara automatik.
- Sokongan untuk nilai input lalai khusus, menggunakan pasangan corak (untuk dipadankan dengan nama input) dan nilai yang akan digunakan untuk mengisi input yang sesuai.
Ini hanya beberapa ciri. Mereka boleh lihat ini dan semua yang lain secara terperincidalam projek laman GitHub.
Pasang pengimbas Arachni di Ubuntu
Kami akan dapat muat turun pakej perlu sama ada dari laman web projek atau dengan membuka terminal (Ctrl + Alt + T) dan ketik perintah berikut di dalamnya:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Sekarang kita hanya mempunyai ekstrak pakej yang dimuat turun menjalankan perintah berikut di terminal yang sama:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Permulaan Arachni dan Penggunaan Asas
Kami akan dapat melancarkan antara muka web Arachni dengan arahan berikut:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
Setelah bermula, kami akan buka penyemak imbas dan sebagai URL kami akan menulis:
https://localhost:9292/users/sign_in/
Nama pengguna dan kata laluan lalai, kami dapat mencarinya di Wiki yang dapat dilihat pada tangkapan skrin di atas. Setelah berada di antara muka, untuk memulakan penerokaan baru, kita hanya perlu mengklik ikon '+ Baru'.
Setelah memasukkan URL yang akan diimbas, kami teruskan dengan mengklik Go untuk bermula
Ini adalah bagaimana imbasan bermula.
Setelah imbasan selesai, ke muat turun laporan yang perlu kita buat hanyalah memilih format dan klik OK.
Pendek kata, walaupun Pengimbas ini tidak menerima kemas kini selama beberapa tahun sekarang, masih cukup serba boleh untuk merangkumi sebilangan besar kes penggunaan. Untuk maklumat lebih lanjut mengenai projek ini, anda boleh menghubungi anda laman web.