I neste artikkel skal vi ta en titt på Arachni. Det handler om en rammeverk utviklet med Ruby og laget for å tilby brukerne forskjellige funksjoner for skanning av webapplikasjoner. Til tross for at vi ikke mottok oppdateringer på to år, ble det antatt å være til hjelp for fagfolk i analyse- og penetrasjonstester, men det kan også være nyttig for serveradministratorer eller webansvarlige som vurderer sikkerheten til webapplikasjoner.
Es kryssplattform, kompatibel med de viktigste operativsystemene som Windows, Mac OS X og Gnu / Linux. Den distribueres gjennom pakker som gir mulighet for øyeblikkelig distribusjon. Er gratis og kildekoden er offentlig, kan vi finne den tilgjengelig i din GitHub-side.
Er hva allsidig nok til å dekke et stort antall brukstilfellerFra et enkelt kommandolinjeskannerverktøy til et globalt rutenett med høytytende skannere og et Ruby-bibliotek for skriptrevisjon. I tillegg gjør det enkle REST API det enkelt å integrere.
Dette rammeverket trener seg gjennom overvåke og lære atferden til webapplikasjonen under skanneprosessen. I tillegg kan du utføre en analyse ved hjelp av en rekke faktorer for å korrekt vurdere påliteligheten av resultatene og identifisere eller unngå falske positive.
Denne skanneren vil ta hensyn til den dynamiske naturen til webapplikasjoner. Kan oppdage endringene som er forårsaket mens du krysser stiene til en webapplikasjon, å kunne justere deretter. På denne måten kan angreps- / inngangsvektorer som ellers ikke kunne oppdages av ikke-mennesker håndteres uten problemer.
Videre, på grunn av det integrerte nettlesermiljøet, gjør det det også klientsiden kan bli revidert og inspiserti tillegg til å støtte kompliserte webapplikasjoner som bruker tung bruk av teknologier som JavaScript, HTML5, DOM-manipulering og AJAX.
Arachni generelle egenskaper
- Cookie-jar / cookie-string, tilpasset overskrift og SSL-støtte med noen alternativer.
- Spoofing av brukeragent.
- Proxy-støtte for SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 og HTTP / 1.0.
- Proxy-autentisering.
- Nettstedsgodkjenning (SSL-basert, Skjemabasert, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos og andre).
- Automatisk pålogging og gjenopptaksdeteksjon under skanning.
- Egendefinert 404-sidegjenkjenning.
- Kommandolinjegrensesnitt.
- Nettbrukergrensesnitt.
- Pause / gjenoppta funksjonalitet. Dvalemodus-støtte: suspendere og gjenopprette fra disk.
- Høyytelses asynkrone HTTP-forespørsler.
- Med muligheten til automatisk å oppdage serverens status og justere samtidigheten automatisk.
- Støtte for egendefinerte standardinndataverdier, ved hjelp av par med mønstre (som skal matches mot inngangsnavn) og verdier som skal brukes til å fylle ut de tilsvarende inngangene.
Dette er bare noen av funksjonene. De kan se disse og alle de andre i detalj, I prosjekt GitHub-siden.
Installer Arachni-skanneren på Ubuntu
Vi klarer det last ned pakken nødvendig enten fra prosjektnettstedet eller ved å åpne en terminal (Ctrl + Alt + T) og skrive følgende kommando i den:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Nå har vi bare pakke ut den nedlastede pakken kjører følgende kommando i samme terminal:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Oppstart av Arachni og grunnleggende bruk
Vi klarer det starte Arachni webgrensesnitt med følgende kommando:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
Når det er startet, vil vi åpne nettleseren og som URL vil vi skrive:
https://localhost:9292/users/sign_in/
Standard brukernavn og passord, vi finner dem i Wiki som kan sees i skjermbildet ovenfor. En gang i grensesnittet, for å starte en ny utforskning, trenger vi bare å klikke på ikonet '+ Ny'.
Etter å ha skrevet inn URL-en for å skanne, fortsetter vi ved å klikke på Go å starte
Slik begynner skanningen.
Etter at skanningen er fullført, til last ned rapporten alt vi trenger å gjøre er å velge format og klikke OK.
Kort sagt, selv om Denne skanneren har ikke mottatt oppdateringer på et par år nå, er den fortsatt allsidig nok til å dekke et stort antall brukstilfeller. For mer informasjon om dette prosjektet, kan du kontakte din nettsted.