No próximo artigo, daremos uma olhada no Arachni. Trata-se de um framework desenvolvido com Ruby e criado para oferecer aos usuários diferentes recursos para digitalização de aplicativos da web. Apesar de não receber atualizações há 2 anos, na sua época foi pensado para auxiliar os profissionais em análises e testes de penetração, também pode ser útil para administradores de servidores ou webmasters que avaliam a segurança de aplicações web.
Es multi plataforma, compatível com os principais sistemas operacionais como Windows, Mac OS X e Gnu / Linux. Ele é distribuído por meio de pacotes que permitem a implantação instantânea. É Gratuito e seu código-fonte é público, podemos encontrá-lo disponível em seu Página GitHub.
É o versátil o suficiente para cobrir um grande número de casos de usoDe um utilitário simples de varredura de linha de comando a uma grade global de scanners de alto desempenho e uma biblioteca Ruby para auditoria com script. Além disso, sua API REST direta facilita a integração.
Esta estrutura se treina por meio de monitorar e aprender o comportamento do aplicativo da web durante o processo de digitalização. Além disso, você pode realizar uma análise usando vários fatores para avaliar corretamente a confiabilidade dos resultados e identificar ou evitar falsos positivos.
Este scanner levará em consideração a natureza dinâmica dos aplicativos da web. pode detectar as mudanças causadas ao percorrer os caminhos de um aplicativo da web, sendo capaz de se ajustar de acordo. Desta forma, vetores de ataque / entrada que de outra forma seriam indetectáveis por não humanos podem ser manipulados sem problemas.
Além disso, devido ao seu ambiente de navegador integrado, ele também o código do lado do cliente pode ser auditado e inspecionadoalém de suportar aplicativos da web complicados, que fazem uso intenso de tecnologias como JavaScript, HTML5, manipulação de DOM e AJAX.
Características gerais do Arachni
- Cookie-jar / cookie-string, cabeçalho personalizado e suporte a SSL com algumas opções.
- Falsificação de agente do usuário.
- Suporte de proxy para SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 e HTTP / 1.0.
- Autenticação proxy.
- Autenticação de site (baseada em SSL, baseada em formulários, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos e outros).
- Logout automático e detecção de nova sessão durante a varredura.
- Detecção de página 404 personalizada.
- Interface da Linha de comando.
- Interface do usuário da web.
- Pausar / retomar a funcionalidade. Suporte a hibernação: suspender e restaurar do disco.
- Solicitações HTTP assíncronas de alto desempenho.
- Com a capacidade de detectar automaticamente o status do servidor e ajustar sua simultaneidade automaticamente.
- Suporte para valores de entrada padrão customizados, usando pares de padrões (a serem correspondidos com os nomes de entrada) e valores a serem usados para preencher as entradas correspondentes.
Esses são apenas alguns dos recursos. Podem veja estes e todos os outros em detalhes, No página do projeto GitHub.
Instale o scanner Arachni no Ubuntu
Seremos capazes baixe o pacote necessário no site do projeto ou abrindo um terminal (Ctrl + Alt + T) e digitando o seguinte comando nele:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Agora só temos extraia o pacote baixado executando o seguinte comando no mesmo terminal:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Inicialização e uso básico do Arachni
Seremos capazes lançar a interface da web do Arachni com o seguinte comando:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
Uma vez iniciado, nós iremos abra o navegador e como URL iremos escrever:
https://localhost:9292/users/sign_in/
O nome de usuário e senha padrão, podemos encontrá-los no Wiki que pode ser visto na imagem acima. Uma vez na interface, para iniciar uma nova exploração, só teremos que clicar no ícone '+ Novo'.
Após inserir o URL a ser verificado, continuamos clicando em Go para iniciar.
É assim que a varredura começa.
Depois que a varredura for concluída, para baixe o relatório tudo o que precisamos fazer é escolher o formato e clicar em OK.
Em suma, embora Este scanner não recebe atualizações há alguns anos, ainda é versátil o suficiente para cobrir um grande número de casos de uso. Para obter mais informações sobre este projeto, você pode entrar em contato com o seu pagina web.