V nasledujúcom článku sa pozrieme na Arachniho. Reč je o a framework vyvinutý s Ruby a vytvorené s cieľom ponúknuť používateľom rôzne funkcie na skenovanie webových aplikácií. Napriek tomu, že nedostával aktualizácie po dobu 2 rokov, v dnešnej dobe sa považoval za pomoc profesionálom pri analýze a penetračných testoch, môže byť tiež užitočný pre správcov serverov alebo správcov webových stránok, ktorí hodnotia bezpečnosť webových aplikácií.
Es cross platform, kompatibilný s hlavnými operačnými systémami ako Windows, Mac OS X a Gnu / Linux. Distribuuje sa prostredníctvom balíkov, ktoré umožňujú okamžité nasadenie. Je voľný a jeho zdrojový kód je verejný, nájdeme ho vo vašom Stránka GitHub.
Je čo dostatočne univerzálne na pokrytie veľkého množstva prípadov použitiaOd jednoduchého nástroja na skenovanie príkazového riadku po globálnu mriežku vysoko výkonných skenerov a knižnicu Ruby pre skriptované audity. Navyše, jeho priame REST API uľahčuje integráciu.
Tento rámec sa sám trénuje sledovanie a učenie sa správania webovej aplikácie počas procesu skenovania. Okrem toho môžete vykonať analýzu pomocou viacerých faktorov, aby ste správne vyhodnotili spoľahlivosť výsledkov a identifikovali alebo sa vyhli falošným pozitívam.
Tento skener zohľadní dynamickú povahu webových aplikácií. Môcť zistiť zmeny spôsobené pri prechádzaní cestami webovej aplikácie, vedieť sa podľa toho prispôsobiť. Týmto spôsobom je možné bez problémov manipulovať s vektormi útoku / vstupu, ktoré by inak neboli detekovateľné ľuďmi.
Ďalej vďaka integrovanému prostrediu prehľadávača tiež kód na strane klienta je možné skontrolovať a skontrolovaťako aj podpora komplikovaných webových aplikácií, ktoré vo veľkej miere využívajú technológie ako JavaScript, HTML5, manipulácia s DOM a AJAX.
Arachniho všeobecná charakteristika
- Cookie-jar / cookie-string, vlastná hlavička a podpora SSL s niektorými možnosťami.
- Podvádzanie užívateľských agentov.
- Podpora servera SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 a HTTP / 1.0.
- Proxy autentifikácia.
- Autentifikácia stránok (na základe protokolu SSL, na základe formulárov, súborov cookie, Jar, Basic-Digest, NTLMv1, Kerberos a ďalších).
- Automatické odhlásenie a detekcia opätovnej relácie počas skenovania.
- Vlastná detekcia stránky 404.
- Rozhranie príkazového riadku.
- Webové užívateľské rozhranie.
- Pozastaviť / obnoviť funkčnosť. Podpora režimu dlhodobého spánku: pozastavenie a obnovenie z disku.
- Vysoko výkonné asynchrónne požiadavky HTTP.
- Vďaka schopnosti automaticky detekovať stav servera a automaticky upravovať jeho súbežnosť.
- Podpora vlastných predvolených vstupných hodnôt pomocou párov vzorov (ktoré sa majú porovnávať s názvami vstupov) a hodnôt, ktoré sa majú použiť na vyplnenie zodpovedajúcich vstupov.
Je to iba niekoľko funkcií. Môžu pozrite si tieto a všetky ostatné podrobnev projektová stránka GitHub.
Nainštalujte si Arachni skener na Ubuntu
Budeme schopní stiahnite si balíček potrebné buď z webovej stránky projektu alebo otvorením terminálu (Ctrl + Alt + T) a zadaním nasledujúceho príkazu:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Teraz už iba máme rozbaľte stiahnutý balík spustením nasledujúceho príkazu v rovnakom termináli:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Spustenie Arachni a základné použitie
Budeme schopní spustiť webové rozhranie Arachni pomocou nasledujúceho príkazu:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
Po začatí budeme otvorte prehliadač a ako URL napíšeme:
https://localhost:9292/users/sign_in/
Predvolené užívateľské meno a heslo ich nájdeme na Wiki čo je vidieť na vyššie uvedenom screenshote. Po vstupe do rozhrania začneme nový prieskum, iba budeme musieť kliknúť na ikonu '+ Nové".
Po zadaní adresy URL, ktorá sa má skenovať, pokračujeme kliknutím na Go začať
Takto sa začína skenovanie.
Po dokončení skenovania do stiahnite si správu musíme len zvoliť formát a kliknúť na OK.
Skrátka aj keď Tento skener už niekoľko rokov nedostáva aktualizácie, je stále dostatočne univerzálny na pokrytie veľkého množstva prípadov použitia. Ak chcete získať viac informácií o tomto projekte, kontaktujte svojho webové stránky.