V naslednjem članku si bomo ogledali Arachnija. Gre za a okvir, razvit z Rubyjem in ustvarjen tako, da uporabnikom ponuja različne funkcije za skeniranje spletnih aplikacij. Kljub temu, da dve leti ni prejemal posodobitev, je bilo včasih strokovnjakom v pomoč pri analizah in testih penetracije, lahko pa je koristen tudi za skrbnike strežnikov ali spletne skrbnike, ki ocenjujejo varnost spletnih aplikacij.
Es križna platforma, združljiv z glavnimi operacijskimi sistemi, kot so Windows, Mac OS X in Gnu / Linux. Razdeljen je prek paketov, ki omogočajo takojšnjo uvajanje. Je brez in njegova izvorna koda je javna, lahko jo najdemo v vašem Stran GitHub.
Je kaj dovolj vsestranski, da zajema veliko število primerov uporabeOd preprostega pripomočka za optični bralnik ukazne vrstice do globalne mreže visoko zmogljivih optičnih bralnikov in knjižnice Ruby za skriptirano revizijo. Poleg tega neposreden API REST olajša integracijo.
Ta okvir se usposobi spremljanje in učenje vedenja spletne aplikacije med postopkom skeniranja. Poleg tega lahko izvedete analizo z uporabo številnih dejavnikov, da pravilno ocenite zanesljivost rezultatov in prepoznate ali se izognete lažnim pozitivnim rezultatom.
Ta optični bralnik bo upošteval dinamično naravo spletnih aplikacij. Lahko zaznati spremembe, ki so nastale med prečkanjem poti spletne aplikacije, ki se lahko ustrezno prilagodijo. Na ta način lahko brez težav obdelujete vektorje napadov / vstopov, ki jih sicer osebe ne bi mogle zaznati.
Poleg tega zaradi vgrajenega brskalniškega okolja tudi kodo na strani stranke je mogoče revidirati in pregledatikot tudi podporo zapletenim spletnim aplikacijam, ki močno uporabljajo tehnologije, kot so JavaScript, HTML5, DOM manipulacija in AJAX.
Arachni splošne značilnosti
- Cookie-jar / cookie-string, glava po meri in podpora SSL z nekaterimi možnostmi.
- Prevara uporabniškega agenta.
- Podpora za proxy za SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 in HTTP / 1.0.
- Preverjanje pristnosti posrednika.
- Preverjanje pristnosti spletnega mesta (na osnovi SSL, na obrazcih, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos in drugi).
- Samodejno zaznavanje odjave in ponovne seje med skeniranjem.
- Zaznavanje strani po meri 404.
- Vmesnik ukazne vrstice.
- Spletni uporabniški vmesnik.
- Funkcija začasne zaustavitve / nadaljevanja. Podpora za mirovanje: začasno zaustavite in obnovite z diska.
- Visoko zmogljive asinhrone zahteve HTTP.
- Z možnostjo samodejnega zaznavanja stanja strežnika in samodejne prilagoditve njegove sočasnosti.
- Podpora za privzete privzete vrednosti po meri, z uporabo parov vzorcev (za primerjavo z imeni vhodov) in vrednosti, ki se uporabljajo za zapolnitev ustreznih vhodov.
To je le nekaj funkcij. Je lahko podrobno si oglejte te in vse ostalev stran GitHub projekta.
Namestite skener Arachni na Ubuntu
Bomo zmogli prenesite paket potrebno na spletni strani projekta ali tako, da odprete terminal (Ctrl + Alt + T) in vanj vnesete naslednji ukaz:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Zdaj imamo samo še izvlecite preneseni paket zagon naslednjega ukaza v istem terminalu:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Arachni zagon in osnovna uporaba
Bomo zmogli zaženite spletni vmesnik Arachni z naslednjim ukazom:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
Ko bomo začeli, bomo odprite brskalnik in kot URL bomo napisali:
https://localhost:9292/users/sign_in/
Privzeto uporabniško ime in geslo lahko najdemo v Wiki kar je razvidno iz zgornjega posnetka zaslona. Ko smo v vmesniku, bomo za začetek novega raziskovanja morali samo klikniti ikono '+ Novo".
Po vnosu URL-ja za skeniranje nadaljujemo s klikom na Go začeti
Tako se začne skeniranje.
Ko je skeniranje končano, do prenesite poročilo vse kar moramo storiti je, da izberemo obliko in kliknemo V redu.
Skratka, čeprav Ta optični bralnik že nekaj let ni prejel posodobitev, je še vedno dovolj vsestranski, da zajema veliko število primerov uporabe. Za več informacij o tem projektu se lahko obrnete na svojega Spletna stran.