(這幾天每個人都在做一個長卷式的登入頁…)
免費/公共原始程式碼軟件
安全是建立在信任之上的,信任需要公開和透明。
由於掃描結果是用於確定組織的web應用程序安全狀態的主要度量之一,囙此,至關重要的是,這些結果不僅以可信、安全和安全的管道進行處理,而且準確、完整,不會讓您產生錯誤的安全感。
Arachni的原始程式碼是公開的,囙此,它提供了一個可驗證、可檢查的代碼庫,以確保您的結果具有最高級別的保護,並確定所有可能的問題。
有了這張牌,Arachni就可以不假稱自己的能力,只需勾選一個行銷清單,而是實現了它的設計目標,並取得了優异的效果。這通過嚴格的基準測試、測試用例和社區支持得到了證明。
對於那些複雜且高度專業化的環境,可以很容易地將自定義修改添加到Arachni中以補充其特性。自定義可以包括:
- 檢查-確定自定義問題。
- 挿件-乾淨地擴展系統的功能。
- 記者-以任何最適合您的管道存儲/格式化掃描結果。
- RPC服務-以您自己的管道控制遠程資源。
Arachni是在Arachni Public Source License v1.0下獲得許可的,有關詳細資訊,請參閱許可條款。
多個部署選項
無論部署在什麼環境中,Arachni都可以使用。根據需求的不同,這可以是任何地方,從簡單的、點對點的web介面到使用覈心Ruby庫的高度定制和腳本化的用例。
不管環境如何,蛛形綱動物很可能會適應你的需要。部署選項包括:
- Ruby庫,用於高度定制的腳本掃描。
- 用於快速掃描的CLI scanner實用程式。
- WebUI,用於多用戶、多掃描、多調度程式管理。
- 使用遠程代理的分佈式系統。
在所有情况下,部署都很簡單。沒有資料庫*、系統服務、庫之類的依賴項,也沒有任何配寘開銷。簡單地說,下載我們的一個包並將其選取到支持的作業系統中,然後運行腳本、掃描、啟動web介面或將電腦轉換為網格節點—所有這些都只需一個命令。
從用一行程式碼提交一個表單,到一個全域掃描網格,Arachni已經覆蓋了你——後者並不比前者難多少。
*WebUI預先配寘了SQLite3;但是,對於更大的工作負載,建議使用PostgreSQL。
大量的安全檢查
開箱即用,Arachni擁有所有功能齊全的支持和漏洞分析,這是一款一流的web應用程序掃描器所能提供的。
所有常見的嫌疑犯都得到支持,包括:
- XSS(帶有DOM變體)
- SQL注入
- 諾索注射液
- 程式碼注入
- 檔案包含變數
- 更多…
此外,Arachni的分析科技在可靠性、準確性和彈性方面是無與倫比的,即使在不穩定的網絡條件下,或者在處理行為不端的web應用程序時也是如此。
在不斷增長的社區的支持下,Arachni不斷地在web應用程序掃描方面突破界限。
集成瀏覽器環境
由於其真正的瀏覽器引擎,Arachni可以處理複雜的現代web應用程序,提供:
- 支持JavaScript/DOM/HTML5/AJAX。
- 檢測基於DOM的漏洞。
- 跟踪DOM和JavaScript環境的數據和執行流。
- 常見JavaScript框架的額外跟踪優化:JQueryAngularJSMore即將推出…
- JQuery公司
- 安格拉
- 更多…
這使得Arachni在所有web應用程序掃描儀中都是獨一無二的。一種將Arachni看作自動化、分佈式、高性能JavaScript/DOM安全調試器的方法(除其他外)。
Arachni提供完整的堆棧數據*在您的指尖,包括:stacktraces、函數簽名、名稱、位置、原始程式碼和參數列表,在檢測到易受攻擊狀態時捕獲。
*在JavaScript嚴格模式下運行時,某些堆棧數據將無法訪問。
對每個web應用程序進行智慧的動態調整
Arachni分別分析每個應用程序資源,從而允許它根據所使用的科技調整每個請求。這將導致在執行檢查時只注入適用的有效負載,從而减少頻寬消耗,減輕web應用程序的壓力,並囙此加快和提高掃描的可靠性。
此外,web應用程序的行為會不斷地被指紋識別和監控,從而能够識別自定義的404處理程式、服務器運行狀況等,同時掃描器會動態調整其策略,以確保整個掃描過程的準確性和穩定性。
最後,Arachni在整個掃描過程中通過學習HTTP響應來訓練自己,以便識別新的輸入向量並處理諸如嚮導等複雜的工作流。
移動就緒-以多種方式
Arachni可以配寘為複製多個不同的用戶端平臺,包括電話和平板電腦。這是通過使用用戶代理標識以及視區大小和方向來實現的。這為移動網站無與倫比的覆蓋和測試提供了真正的瀏覽器體驗。
此外,通過使用WebUI創建、管理和共亯掃描組和關聯的設定檔,您可以輕鬆地組織多設備掃描。
除上述之外,還有另一種管道可以讓Arachni隨時移動,那就是通過其響應迅速的web使用者介面。在支持作業系統的電腦上啟動WebUI,並從平板電腦或手機啟動、控制或監視掃描。
高性能
掃描器處理大量的工作負載,通常處理數千個頁面並執行數百萬個請求。在處理這些類型的數位時,小的延遲會很快累積成大的延遲。
蛛形綱動物不浪費時間,並通過利用以下方法將任何延遲减至最少:
- 用於羽量級併發和快速通信的非同步HTTP請求。
- 用於並行JavaScript/DOM操作的集羣瀏覽器環境。
- 支持多實例掃描,利用多個實例/行程,實現超快速稽核,即使分佈在多個節點上。
- 即使分佈在多個節點上。
畢竟,你越早瞭解問題,就能越早地降低風險。
高度詳細、結構良好的報告
報表可以以多種開放格式生成,允許您從一個直觀組織且結構良好的檔案中使用所有相關資訊和上下文。使脆弱性生命週期的下一階段成為罪惡。
所有報告都有豐富的背景,便於複製和核實確定的問題,例如:
- 受影響的頁面快照,包括:DOM轉換,允許將state.DOM捕獲還原為HTML程式碼。資料流程接收器,顯示整個JavaScript環境中受污染的參數流。執行流接收器,顯示注入的JavaScript有效負載的執行點。關聯的HTTP請求和響應。
- DOM轉換,允許狀態恢復。
- DOM捕獲為HTML程式碼。
- 資料流程下沉,顯示整個JavaScript環境中受污染的參數流。
- 執行流下沉,顯示注入的JavaScript有效負載的執行點。
- 關聯的HTTP請求和響應。
- 引用頁面快照,以便比較前後狀態。
- 接收器的完整JavaScript堆棧數據,包括:Stacktraces.Function names.Function argument signatures.Function locations.Function source codes.Function argument lists。
- 堆疊痕迹。
- 函數名。
- 函數參數簽名。
- 功能位置。
- 函數原始程式碼。
- 函數參數列表。
如前所述,報表有多種格式,允許您解釋和使用其中包含的資訊。格式包括:
- HTML(壓縮)
- 文字
- JSON格式
- XML格式
- 山藥
- 元帥
- AFR—這是Arachni框架報告檔案,它作為一個參考點,可以轉換為上述任何格式。