在下一篇文章中,我們將看一下Arachni。 這是關於 用Ruby開發的框架 並為用戶提供了用於Web應用程序掃描的不同功能。 儘管已經有兩年沒有收到更新了,但是在今天它仍然被認為可以幫助專業人士進行分析和滲透測試,但是它對於評估Web應用程序安全性的服務器管理員或網站管理員也很有用。
Es 跨平台,與Windows,Mac OS X和Gnu / Linux等主要操作系統兼容。 它通過允許即時部署的程序包分發。 是 免費 並且其源代碼是公開的,我們可以在您的 GitHub頁面.
是什麼 通用性足以覆蓋大量用例從簡單的命令行掃描儀實用程序到高性能掃描儀的全球網格以及用於腳本審核的Ruby庫。 此外,其直接的REST API使集成變得容易。
這個框架通過 在掃描過程中監視和了解Web應用程序的行為。 此外,您可以使用多種因素進行分析,以正確評估結果的可靠性並識別或避免誤報。
該掃描儀將考慮Web應用程序的動態性質。 能 檢測遍歷Web應用程序路徑時引起的更改,可以據此進行調整。 這樣,可以毫無問題地處理否則非人類無法檢測到的攻擊/進入媒介。
此外,由於其集成的瀏覽器環境,它也 客戶端代碼可以進行審核和檢查以及支持複雜的Web應用程序,這些應用程序大量使用了JavaScript,HTML5,DOM操作和AJAX等技術。
蛛形綱一般特徵
- Cookie-jar / Cookie字符串,自定義標頭和SSL支持以及某些選項。
- 用戶代理欺騙。
- 對SOCKS4,SOCKS4A,SOCKS5,HTTP / 1.1和HTTP / 1.0的代理支持。
- 代理身份驗證。
- 站點身份驗證(基於SSL,基於表單,Cookie-Jar,基本摘要,NTLMv1,Kerberos和其他)。
- 掃描期間自動註銷和重新會話檢測。
- 自定義404頁面檢測。
- 命令行界面.
- 網絡用戶界面.
- 暫停/恢復功能。 休眠支持:從磁盤掛起和還原。
- 高性能異步HTTP請求。
- 具有自動檢測服務器狀態並自動調整其並發性的能力。
- 支持自定義默認輸入值,使用成對的模式(與輸入名稱匹配)和用於填充相應輸入的值。
這些只是其中的一些功能。 他們能 詳細查看這些以及其他所有內容,在 項目GitHub頁面.
在Ubuntu上安裝Arachni掃描儀
我們將能夠 下載包 可以從項目網站上獲取 或者打開終端(Ctrl + Alt + T)並在其中輸入以下命令:
wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
現在我們只有 解壓縮下載的軟件包 在同一終端上運行以下命令:
tar -xvf arachni-1.5.1-0.5.12-linux-x86_64.tar.gz
Arachni啟動和基本用法
我們將能夠 啟動Arachni Web界面 使用以下命令:
~/arachni-1.5.1-0.5.12/bin$ ./arachni_web
一旦開始,我們將 打開瀏覽器,並作為URL,我們將編寫:
https://localhost:9292/users/sign_in/
默認的用戶名和密碼,我們可以在Wiki中找到它們 可以在上面的屏幕截圖中看到。 進入界面後,要開始新的探索,我們只需點擊圖標“+新的“。
輸入要掃描的網址後,我們點擊 Go 開始
這就是掃描開始的方式。
掃描完成後, 下載報告 我們要做的就是選擇格式,然後單擊“確定”。
簡而言之,即使 該掃描儀已經有兩年沒有收到更新了,它仍然具有足夠的通用性,可以涵蓋大量用例。 有關此項目的更多信息,您可以聯繫您的 網頁.