Arachni, isang scanner ng web application sa Ubuntu

Damián A.

4 Minutos

tungkol sa arachni

Sa susunod na artikulo ay titingnan natin si Arachni. Ito ay tungkol sa a balangkas na binuo kasama si Ruby at nilikha upang mag-alok sa mga gumagamit ng iba't ibang mga tampok para sa pag-scan ng application ng web. Sa kabila ng hindi pagtanggap ng mga update sa loob ng 2 taon, sa araw nito ay naisip na makakatulong sa mga propesyonal sa pagsusuri at mga pagsubok sa pagtagos, maaari din itong maging kapaki-pakinabang para sa mga tagapangasiwa ng server o webmaster na susuriin ang seguridad ng mga web application.

Es platform ng cross, katugma sa pangunahing mga operating system tulad ng Windows, Mac OS X at Gnu / Linux. Ipinamamahagi ito sa pamamagitan ng mga pakete na nagpapahintulot sa instant na pag-deploy. Ay libre at ang source code nito ay pampubliko, mahahanap namin ito na magagamit sa iyong Pahina ng GitHub.

Ay ano sapat na maraming nalalaman upang masakop ang isang malaking bilang ng mga kaso ng paggamitMula sa isang simpleng utos ng scanner ng command line sa isang pandaigdigang grid ng mga scanner na may mahusay na pagganap at isang library ng Ruby para sa pag-audit sa script. Dagdag pa, ang deretsong REST API nito ay ginagawang madali ang pagsasama.

Ang balangkas na ito ay nagsasanay sa sarili nito pagsubaybay at pag-aaral ng pag-uugali ng web application sa panahon ng proseso ng pag-scan. Bilang karagdagan, maaari kang magsagawa ng isang pagsusuri gamit ang isang bilang ng mga kadahilanan upang masuri nang tama ang pagiging maaasahan ng mga resulta at makilala o maiwasan ang mga maling positibo.

Isasaalang-alang ng scanner na ito ang likas na likas na katangian ng mga web application. Maaari tuklasin ang mga pagbabagong sanhi habang binabagtas ang mga landas ng isang web application, nakakapag-ayos nang naaayon. Sa ganitong paraan, ang mga vector ng pag-atake / pagpasok na maaaring hindi makita ng mga taong hindi tao ay maaaring mapangasiwaan nang walang mga problema.

Bukod dito, dahil sa pinagsamang kapaligiran ng browser, ito rin client-side code ay maaaring ma-audit at masuripati na rin ang pagsuporta sa mga kumplikadong aplikasyon ng web, na gumagamit ng masinsinang paggamit ng mga teknolohiya tulad ng JavaScript, HTML5, manipulasyon ng DOM at AJAX.

Pangkalahatang katangian ng Arachni

  • Cookie-jar / cookie-string, pasadyang header at suporta ng SSL na may ilang mga pagpipilian.
  • Spoofing ng ahente ng gumagamit.
  • Suporta ng proxy para sa SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 at HTTP / 1.0.
  • Pagpatotoo ng proxy.
  • Pagpapatotoo ng site (batay sa SSL, Batay sa mga form, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos, at iba pa).
  • Awtomatikong pag-log-out at muling pagtuklas ng session habang nag-scan.
  • Pagtuklas ng pasadyang 404 na pahina.
  • Interface ng linya ng utos.
  • Web user interface.
  • I-pause / ipagpatuloy ang pagpapaandar. Suporta sa hibernate: suspindihin at ibalik mula sa disk.
  • Mga kahilingan sa HTTP na asynkord na mahusay na pagganap.
  • Gamit ang kakayahang awtomatikong makita ang katayuan ng server at awtomatikong ayusin ang pagsabay nito.
  • Suporta para sa pasadyang mga default na halaga ng pag-input, gamit ang mga pares ng mga pattern (upang maitugma laban sa mga pangalan ng pag-input) at mga halagang gagamitin upang mapunan ang kaukulang mga input.

Ito ay ilan lamang sa mga tampok. Kaya nila tingnan ang mga ito at lahat ng iba pa nang detalyado, Sa pahina ng GitHub ng proyekto.

tagasuri ng web spaghetti web
Kaugnay na artikulo:
Spaghetti, i-scan ang seguridad ng iyong mga aplikasyon sa Web

I-install ang Arachni scanner sa Ubuntu

Kakayanin namin i-download ang package kinakailangan alinman mula sa website ng proyekto o sa pamamagitan ng pagbubukas ng isang terminal (Ctrl + Alt + T) at pagta-type dito ang sumusunod na utos:

simulan ang pag-download gamit ang wget 

wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz

Ngayon meron lang tayo kunin ang na-download na pakete pagpapatakbo ng sumusunod na utos sa parehong terminal:

tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz

Startup ng Arachni at Pangunahing Paggamit

Kakayanin namin ilunsad ang web interface ng Arachni kasama ang sumusunod na utos:

ilunsad ang web interface ng arachni 

~/arachni-1.5.1-0.5.12/bin$ ./arachni_web

Kapag nagsimula na, gagawin namin buksan ang browser at bilang URL ay susulat kami:

web screen ng arachni sa web 

https://localhost:9292/users/sign_in/

Ang default na username at password, mahahanap natin sila sa Wiki na maaaring makita sa screenshot sa itaas. Kapag nasa interface na, upang magsimula ng isang bagong paggalugad, mag-click lamang kami sa icon na '+ Bago'.

simulan ang pag-scan gamit ang arachni

Matapos ipasok ang URL upang mai-scan, magpatuloy kami sa pamamagitan ng pag-click sa Go upang magsimula

simulan ang pag-scan

Ganito nagsisimula ang pag-scan.

isinasagawa ang pag-scan

Matapos makumpleto ang pag-scan, sa i-download ang ulat ang kailangan lang nating gawin ay piliin ang format at i-click ang OK.

Sa madaling sabi, kahit na Ang scanner na ito ay hindi nakatanggap ng mga update sa loob ng ilang taon ngayon, sapat pa rin itong maraming nalalaman upang masakop ang isang malaking bilang ng mga kaso ng paggamit. Para sa karagdagang impormasyon tungkol sa proyektong ito, maaari kang makipag-ugnay sa iyong website.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.