У следећем чланку ћемо погледати Арацхнија. Реч је о а фрамеворк развијен са Руби и створена да корисницима понуди различите функције за скенирање веб апликација. Упркос томе што није добијао исправке две године, у своје време се сматрало да ће бити од помоћи професионалцима у анализама и тестовима пенетрације, такође може бити корисно за администраторе сервера или вебмастере који процењују безбедност веб апликација.
Es цросс платформ, компатибилан са главним оперативним системима као што су Виндовс, Мац ОС Кс и Гну / Линук. Дистрибуира се кроз пакете који омогућавају тренутно постављање. Је бесплатно и његов изворни код је јаван, можемо га пронаћи на вашем ГитХуб страница.
Је шта довољно свестран да покрије велики број случајева употребеОд једноставног услужног програма за скенирање командне линије до глобалне мреже скенера високих перформанси и Руби библиотеке за скриптирану ревизију. Поред тога, његов директан РЕСТ АПИ олакшава интеграцију.
Овај оквир се сам обучава праћење и учење понашања веб апликације током процеса скенирања. Поред тога, можете извршити анализу користећи бројне факторе да бисте правилно проценили поузданост резултата и идентификовали или избегли лажне позитивне резултате.
Овај скенер ће узети у обзир динамичку природу веб апликација. Моћи открити промене настале током кретања стазама веб апликације, могућност прилагођавања у складу с тим. На овај начин, векторима напада / уласка које иначе не би могли открити нељуди може се руковати без проблема.
Штавише, због свог интегрисаног окружења прегледача, такође код клијента може се ревидирати и прегледатикао и подршка компликованим веб апликацијама које интензивно користе технологије као што су ЈаваСцрипт, ХТМЛ5, ДОМ манипулација и АЈАКС.
Арацхни опште карактеристике
- Цоокие-јар / цоокие-стринг, прилагођено заглавље и ССЛ подршка са неким опцијама.
- Превара корисничког агента.
- Проки подршка за СОЦКС4, СОЦКС4А, СОЦКС5, ХТТП / 1.1 и ХТТП / 1.0.
- Проки аутентификација.
- Аутентификација локације (заснована на ССЛ-у, заснована на обрасцима, Цоокие-Јар, Басиц-Дигест, НТЛМв1, Керберос и други).
- Аутоматско откривање одјаве и поновне сесије током скенирања.
- Прилагођено откривање 404 страница.
- Интерфејс командне линије.
- Веб кориснички интерфејс.
- Пауза / наставак функционалности. Хибернате подршка: суспендовање и враћање са диска.
- Асинхрони ХТТП захтеви високих перформанси.
- Уз могућност аутоматског откривања статуса сервера и аутоматског подешавања његове истовремености.
- Подршка за прилагођене подразумеване вредности улаза, користећи парове образаца (који се подударају са именима улаза) и вредности које ће се користити за попуњавање одговарајућих улаза.
Ово су само неке од карактеристика. Могу детаљно погледајте ове и све остале, у страна ГитХуб пројекта.
Инсталирајте Арацхни скенер на Убунту
Ми ћемо бити у стању преузмите пакет неопходно било са веб локације пројекта или отварањем терминала (Цтрл + Алт + Т) и уписивањем следеће команде у њега:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Сад имамо само извадите преузети пакет извођење следеће наредбе на истом терминалу:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Арацхни покретање и основна употреба
Ми ћемо бити у стању лансирајте веб интерфејс Арацхни са следећом командом:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
Једном кад започнемо, хоћемо отворите прегледач и као УРЛ ћемо написати:
https://localhost:9292/users/sign_in/
Подразумевано корисничко име и лозинка, можемо их наћи на Вики-у што се може видети на горњем снимку екрана. Једном у интерфејсу, да бисмо започели ново истраживање, мораћемо само да кликнемо на икону '+ Ново'.
Након уноса УРЛ адресе за скенирање, настављамо кликом на Go за почетак
Тако започиње скенирање.
Након завршетка скенирања, до преузми извештај све што треба да урадимо је да одаберемо формат и кликнемо ОК.
Укратко, иако Овај скенер већ неколико година није добијао исправке, још увек је довољно свестран да покрије велики број случајева употребе. За више информација о овом пројекту можете се обратити свом вебсајт.