开源Web漏洞扫描工具–Arachni

作者:{SJW}@ArkTeam

Arachni是一个开源的,全面的、模块化的Web漏洞扫描框架,它能够帮助渗透人员和网络管理人员测试Web应用的安全性。

一、功能介绍

Arachni能适用于多平台和多语言:


Arachni对于常见的漏洞类型基本都能覆盖到,且准确率对于同等开源工具更高,主要的漏洞检测有下面这些:


Arachni具有良好的可扩展性,通过添加插件可以增加它的扫描范围和深度。

二、工具安装

软件官网地址

http://www.arachni-scanner.com/

github地址

https://github.com/Arachni/arachni/

Arachni平台支持linux,mac,windows,只需下载文件包后解压就可以运行了,十分方便。运行可视化Arachni平台需要进入bin文件夹,运行arachni_web。


使用浏览器访问:localhost:9292;使用默认的账号登录


默认账号在根目录下的README中


三、工具扫描

Arachni提供简单快捷的扫描方式,只需要输入目标网站的网址即可开始扫描。在扫描中可以选择xss扫描或者sql注入扫描,或者是全面扫描。Arachni可以利用多核cpu的优势做高并发扫描;可以设置定时任务去扫描,功能十分强大


Arachni除了提供快速便捷扫描外,还提供了使用Rest API的方式进行深度定制化的扫描。

Rest API的所有配置项:

https://github.com/Arachni/Arachni/wiki/REST-API#perform-a-new-scan

各参数的说明:

https://github.com/Arachni/Arachni/wiki/Command-line-user-interface。

下面是常用的一些参数说明:


四、扫描报告

扫描结束后,Arachni会提供完整的扫描报告,报告中会详细的指出网站在那些地方存在漏洞,以及修补方案等内容。

也可以使用API获得扫描报告,同时支持多种格式:


四、小结

Arachni是基于Ruby的开源,功能全面,高性能的漏洞扫描框架。它可以通过分析在扫描过程中获得的信息,来评估漏洞识别的准确性和避免误判。Arachni功能强大,本文只针对基本的使用方法做一些介绍,希望能够在大家建立自动化漏洞测试平台时提供一些参考,具体内容请大家自己去实践和发现。

五、参考资料

http://www.arachni-scanner.com/

http://www.arachni-scanner.com/blog/

http://www.codedata.cn/hacknews/11180

http://www.hackdig.com/?01/hack-17772.htm

发表评论

电子邮件地址不会被公开。 必填项已用*标注