Soft [WEB VULN SCANNER] Arachni

Выдалась минутка и я решил посвятить её очень беглому обзору весьма интересного инструмена для веб аудита - Arachni.

Сайт разработчика

Ссылка скрыта от гостей

Недавно в своем блоге разработчик заявил, что вынужден остановить поддержку проекта в пользу коммерческих начинаний. Оно и не дивно, толковые опенсоурсные сканнеры долго не живут в опенсоурсе.

На данный момент мы имеет сам фреймворк версии 2.0 и веб морду к нему версии 1.0

бинарные релизы под все ОС можно взять тут

Ссылка скрыта от гостей

для тех, кто предпочитает терминал есть ночнушки
Arachni/arachni-ui-web
ознакомиться и скачать можно на гитхабе.

Не вижу смысл переписывать то, что там написано сюда. Лучше дам пару скриншотов.

Для начала стоит взглянуть на список поддерживаемых сканнером технологий

и сказать ОГО! ОГОГО!

Не приходя в себя следует взглянуть на список возможностей гибкой настройки каждого вектора аудита. (они кликабельны и сожержат в себе множество опций. на скришоте не влез еще 1 экран плагинов, типа прокси, проверки на отказ сервера и тд и тп)

Достаточно лаконично, как для Болгаров, выглядит результат сканнирования. Разумеется все кликабельно.

Кстати, стоит отметить, что перед тем как запустить скан - вы должны настроить профиль под него. Так что тут не получится как в акунетикс - да далее продолжить. Тут специалист ИБ получает в свои руки инструмент, но не искуственный интеллект. И слава Богу.

И на последок, дабы не выходить из состояния аффекта - возможность добавить мощьностей кластера для скана со своего лаптопа в пару кликов.

До связи :3

 

[illado]

Года два назад возился с этой тулзой, пытался сделать кластер из нескольких серверов для распределённого сканирования, но постоянно выдавало какие то ошибки, ни на форуме нигде не помогли. ТС, пробовал собирать кластер? Знаю эту тулзу используют в связке с Sqlmap

 

[swagcat228]

Года два назад возился с этой тулзой, пытался сделать кластер из нескольких серверов для распределённого сканирования, но постоянно выдавало какие то ошибки, ни на форуме нигде не помогли. ТС, пробовал собирать кластер? Знаю эту тулзу используют в связке с Sqlmap

недавно обнаружил, что можно использовать burpsuite в связке с sqlmap, причем который крутится на сервере удаленно.

эта тулза, к сожалению, тоже часто выдает ошибки. в основном из-за русских букв в ответе от тестируемого сервера

 

[Ваня Кожемякин]

Поставил у меня что-то такого плана ошибки

[2020-03-10 11:59:01 +0300] [Errno::ECONNREFUSED] Failed to open TCP connection to 127.0.0.1:38763 (Connection refused - connect(2) for "127.0.0.1" port 38763)
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/net/http.rb:906:in `rescue in block in connect'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/net/http.rb:903:in `block in connect'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/timeout.rb:93:in `block in timeout'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/timeout.rb:103:in `timeout'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/net/http.rb:902:in `connect'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/net/http.rb:887:in `do_start'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/net/http.rb:876:in `start'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/net/http.rb:1407:in `request'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/gems/gems/selenium-webdriver-3.14.0/lib/selenium/webdriver/remote/http/default.rb:121:in `response_for'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/gems/gems/selenium-webdriver-3.14.0/lib/selenium/webdriver/remote/http/default.rb:76:in `request'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/gems/gems/selenium-webdriver-3.14.0/lib/selenium/webdriver/remote/http/common.rb:62:in `call'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/gems/gems/selenium-webdriver-3.14.0/lib/selenium/webdriver/remote/bridge.rb:164:in `execute'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/gems/gems/selenium-webdriver-3.14.0/lib/selenium/webdriver/remote/bridge.rb:97:in `create_session'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/gems/gems/selenium-webdriver-3.14.0/lib/selenium/webdriver/remote/bridge.rb:53:in `handshake'

не подскажете как решить? стоит кали все обновленно

 

[R3M1X]

не подскажете как решить? стоит кали все обновленно

[SOLVED] arachni dispatcher and local scan does not work due to ECONNREFUSED · Issue #1022 · Arachni/arachni

Hi everyone, I found myself into a problem with arachni (the official tarball pack. It just can't run at all. I'll try to provide as much detail as I can (sorry if I'm too verbose on this one). TLD...

github.com

 

[swagcat228]

[2020-03-10 11:59:01 +0300] [Errno::ECONNREFUSED] Failed to open TCP connection to 127.0.0.1:38763 (Connection refused - connect(2) for "127.0.0.1" port 38763)

не получается забиндить порт. смотри netstat. запуск из под рута?

 

[Ваня Кожемякин]

[SOLVED] arachni dispatcher and local scan does not work due to ECONNREFUSED · Issue #1022 · Arachni/arachni

Hi everyone, I found myself into a problem with arachni (the official tarball pack. It just can't run at all. I'll try to provide as much detail as I can (sorry if I'm too verbose on this one). TLD...

github.com

Спасибо export OPENSSL_CONF=/etc/ssl/ помогло )))

 

[R3M1X]

Спасибо export OPENSSL_CONF=/etc/ssl/ помогло )))

хоть + поставь