Arachni, een webapplicatiescanner op Ubuntu

Damián A.

4 minuten

over arachni

In het volgende artikel gaan we Arachni bekijken. Het gaat over een framework ontwikkeld met Ruby en gemaakt om gebruikers verschillende functies te bieden voor het scannen van webtoepassingen. Ondanks dat het twee jaar lang geen updates ontving, werd aangenomen dat het in zijn tijd nuttig was voor professionals bij analyse- en penetratietests, maar het kan ook nuttig zijn voor serverbeheerders of webmasters die de veiligheid van webapplicaties evalueren.

Es dwarsplatform, compatibel met de belangrijkste besturingssystemen zoals Windows, Mac OS X en Gnu / Linux. Het wordt gedistribueerd via pakketten die onmiddellijke implementatie mogelijk maken. Is offerte en de broncode is openbaar, we kunnen deze vinden in uw GitHub-pagina.

Is wat veelzijdig genoeg om een ​​groot aantal gebruiksscenario's te dekkenVan een eenvoudig hulpprogramma voor de opdrachtregelscanner tot een wereldwijd netwerk van krachtige scanners en een Ruby-bibliotheek voor scriptaudits. Bovendien maakt de eenvoudige REST API integratie eenvoudig.

Dit raamwerk traint zichzelf door het volgen en leren van het gedrag van de webapplicatie tijdens het scanproces​ Bovendien kunt u een analyse uitvoeren met behulp van een aantal factoren om de betrouwbaarheid van de resultaten correct te beoordelen en valse positieven te identificeren of te voorkomen.

Deze scanner houdt rekening met de dynamische aard van webapplicaties. Kan detecteer de veranderingen die worden veroorzaakt tijdens het doorlopen van de paden van een webtoepassing, in staat zijn om dienovereenkomstig aan te passen. Op deze manier kunnen aanvals- / ingangsvectoren die anders niet door niet-mensen zouden worden gedetecteerd, zonder problemen worden afgehandeld.

Bovendien, vanwege de geïntegreerde browseromgeving, is het ook client-side code kan worden gecontroleerd en geïnspecteerden ondersteunt gecompliceerde webapplicaties, die veel gebruikmaken van technologieën zoals JavaScript, HTML5, DOM-manipulatie en AJAX.

Arachni algemene kenmerken

  • Cookie-jar / cookie-string, aangepaste header en SSL-ondersteuning met enkele opties.
  • Spoofing van user-agent.
  • Proxy-ondersteuning voor SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 en HTTP / 1.0.
  • Proxy-authenticatie.
  • Site-authenticatie (SSL-gebaseerd, Forms-gebaseerd, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos en andere).
  • Automatisch uitloggen en opnieuw sessieherkenning tijdens het scannen.
  • Aangepaste detectie van 404-pagina's.
  • Opdrachtregelinterface.
  • Web gebruikersinterface.
  • Functionaliteit onderbreken / hervatten. Ondersteuning voor slaapstand: onderbreken en herstellen vanaf schijf.
  • Asynchrone HTTP-verzoeken met hoge prestaties.
  • Met de mogelijkheid om automatisch de status van de server te detecteren en de gelijktijdigheid automatisch aan te passen.
  • Ondersteuning voor aangepaste standaard invoerwaarden, met behulp van paren patronen (die moeten worden vergeleken met invoernamen) en waarden die worden gebruikt om de bijbehorende invoer te vullen.

Dit zijn slechts enkele van de kenmerken. Ze kunnen bekijk deze en alle andere in detail, In de project GitHub-pagina.

logo spaghetti webanalysator
Gerelateerd artikel:
Spaghetti, scan de beveiliging van uw webapplicaties

Installeer Arachni-scanner op Ubuntu

We zullen in staat zijn tot download het pakket nodig ofwel van de projectwebsite of door een terminal te openen (Ctrl + Alt + T) en de volgende opdracht erin te typen:

start de download met wget 

wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz

Nu hebben we alleen pak het gedownloade pakket uit het volgende commando uitvoeren in dezelfde terminal:

tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz

Arachni opstarten en basisgebruik

We zullen in staat zijn tot start de Arachni-webinterface met het volgende commando:

start arachni webinterface 

~/arachni-1.5.1-0.5.12/bin$ ./arachni_web

Eenmaal begonnen, zullen we open de browser en als URL zullen we schrijven:

het webstartscherm van arachni 

https://localhost:9292/users/sign_in/

De standaard gebruikersnaam en wachtwoord, we kunnen ze vinden in de Wiki die te zien is in de bovenstaande schermafbeelding. Eenmaal in de interface, om een ​​nieuwe verkenning te starten, hoeven we alleen maar op het pictogram te klikken '+ Nieuw'.

start de scan met arachni

Na het invoeren van de te scannen URL gaan we verder door op te klikken Go om te beginnen

start scan

Dit is hoe de scan begint.

scan bezig

Nadat de scan is voltooid, naar download het rapport het enige wat we hoeven te doen is het formaat kiezen en op OK klikken.

Kortom, ook al Deze scanner heeft al een aantal jaren geen updates ontvangen, is het nog steeds veelzijdig genoeg om een ​​groot aantal gebruiksscenario's te dekken. Voor meer informatie over dit project kunt u contact opnemen met uw website.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.