• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Soft [WEB VULN SCANNER] Arachni

Выдалась минутка и я решил посвятить её очень беглому обзору весьма интересного инструмена для веб аудита - Arachni.

Сайт разработчика

Недавно в своем блоге разработчик заявил, что вынужден остановить поддержку проекта в пользу коммерческих начинаний. Оно и не дивно, толковые опенсоурсные сканнеры долго не живут в опенсоурсе.

На данный момент мы имеет сам фреймворк версии 2.0 и веб морду к нему версии 1.0

бинарные релизы под все ОС можно взять тут
для тех, кто предпочитает терминал есть ночнушки
Arachni/arachni-ui-web
ознакомиться и скачать можно на гитхабе.

Не вижу смысл переписывать то, что там написано сюда. Лучше дам пару скриншотов.

Для начала стоит взглянуть на список поддерживаемых сканнером технологий

platformi.png


и сказать ОГО! ОГОГО!

Не приходя в себя следует взглянуть на список возможностей гибкой настройки каждого вектора аудита. (они кликабельны и сожержат в себе множество опций. на скришоте не влез еще 1 экран плагинов, типа прокси, проверки на отказ сервера и тд и тп)

plagini.png



Достаточно лаконично, как для Болгаров, выглядит результат сканнирования. Разумеется все кликабельно.

scan.png


Кстати, стоит отметить, что перед тем как запустить скан - вы должны настроить профиль под него. Так что тут не получится как в акунетикс - да далее продолжить. Тут специалист ИБ получает в свои руки инструмент, но не искуственный интеллект. И слава Богу.

И на последок, дабы не выходить из состояния аффекта - возможность добавить мощьностей кластера для скана со своего лаптопа в пару кликов.

disp.png


До связи :3
 

illado

New member
31.01.2019
1
0
BIT
0
Года два назад возился с этой тулзой, пытался сделать кластер из нескольких серверов для распределённого сканирования, но постоянно выдавало какие то ошибки, ни на форуме нигде не помогли. ТС, пробовал собирать кластер? Знаю эту тулзу используют в связке с Sqlmap
 

swagcat228

Заблокирован
19.12.2019
341
86
BIT
0
Года два назад возился с этой тулзой, пытался сделать кластер из нескольких серверов для распределённого сканирования, но постоянно выдавало какие то ошибки, ни на форуме нигде не помогли. ТС, пробовал собирать кластер? Знаю эту тулзу используют в связке с Sqlmap
недавно обнаружил, что можно использовать burpsuite в связке с sqlmap, причем который крутится на сервере удаленно.

эта тулза, к сожалению, тоже часто выдает ошибки. в основном из-за русских букв в ответе от тестируемого сервера
 
19.08.2019
2
0
BIT
0
Поставил у меня что-то такого плана ошибки
Код:
[2020-03-10 11:59:01 +0300] [Errno::ECONNREFUSED] Failed to open TCP connection to 127.0.0.1:38763 (Connection refused - connect(2) for "127.0.0.1" port 38763)
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/net/http.rb:906:in `rescue in block in connect'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/net/http.rb:903:in `block in connect'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/timeout.rb:93:in `block in timeout'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/timeout.rb:103:in `timeout'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/net/http.rb:902:in `connect'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/net/http.rb:887:in `do_start'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/net/http.rb:876:in `start'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/usr/lib/ruby/2.4.0/net/http.rb:1407:in `request'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/gems/gems/selenium-webdriver-3.14.0/lib/selenium/webdriver/remote/http/default.rb:121:in `response_for'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/gems/gems/selenium-webdriver-3.14.0/lib/selenium/webdriver/remote/http/default.rb:76:in `request'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/gems/gems/selenium-webdriver-3.14.0/lib/selenium/webdriver/remote/http/common.rb:62:in `call'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/gems/gems/selenium-webdriver-3.14.0/lib/selenium/webdriver/remote/bridge.rb:164:in `execute'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/gems/gems/selenium-webdriver-3.14.0/lib/selenium/webdriver/remote/bridge.rb:97:in `create_session'
[2020-03-10 11:59:01 +0300] /root/arachni-2.0dev-1.0dev/system/gems/gems/selenium-webdriver-3.14.0/lib/selenium/webdriver/remote/bridge.rb:53:in `handshake'
не подскажете как решить? стоит кали все обновленно
 

R3M1X

Green Team
16.02.2020
117
20
BIT
0
не подскажете как решить? стоит кали все обновленно
 
19.08.2019
2
0
BIT
0
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!