Tīkla Administrators

Arachni apskats un alternatīvas

Arachni apskats un alternatīvas



Arachni ir brīvi lietojams. Tas ir automatizēts drošības skeneris tīmekļa lietojumprogrammām, un to var izmantot iespiešanās testēšanai vai izstrādes testēšanai. Šis rīks pastāv jau desmit gadus. Tomēr tā attīstība ir bijusi lēna un, iespējams, nav labākā izvēle, ja meklējat ievainojamības pārvaldības sistēmu uzņēmumam. Tīmekļa līdzekļi .

Šajā pārskatā uzzināsiet vairāk par Arachni, kā to izmantot un kādas alternatīvas ir pieejamas.



Arachni vēsture

Arachni vēsture sākas ar Tasos Laskos . Viņš ieguvis maģistra grādu kiberdrošībā Londonas Universitātes Karaliskajā Holovejas koledžā un šī kursa disertācijas ietvaros uzrakstīja Arachni. Sistēma darbojās labi, tāpēc Laskos nolēma padarīt savu rīku pieejamu plašākai sabiedrībai, ievietojot kodu GitHub un padarot to par atvērtā pirmkoda projektu.

Gadu gaitā Laskoss ir cīnījies, lai Arachni pamanītu, un viņš izveidoja Sarosys LLC lai komercializētu produktu un palīdzētu finansēt projektu. Kā vienīgais Arachni izstrādātājs Laskosam bija grūti veltīt pietiekami daudz laika tā izstrādei. Pēdējais sistēmas atjauninājums tika izlaists 2017. gadā ar versija 1.5.1 .



2020. gada janvārī Laskos paziņoja par Arachni vietne ka Arachni vairs netiek kopts . Likās, ka viņš beidzot ir pametis savu projektu. 2021. gada jūnijā viņš nāca klajā ar jaunu paziņojumu, pie kura viņš tagad strādā Arachni aizstājējs .

Atjaunināts 2022. gada janvāris: Tasos Laskos informē mūs, ka viņam tagad ir atsākta attīstība un atbalsts par Arachni.

Arachni izvietošanas iespējas

Lai gan, izlasot, ka Arachni ir pamests, jums varētu rasties kārdinājums nekavējoties doties uz sadaļu Alternatīvas, un to ir vērts apskatīt.

Arachni ir komandrindas interfeiss un arī uz Web GUI . Pakete ir pieejama operētājsistēmām Linux (32 bitu un 64 bitu), macOS (64 bitu) un Windows (64 bitu). The Arachni Lejupielādēt lapa iesaka Linux un macOS versijas, nevis Windows ieviešanu.

Resursdatoram ir nepieciešama vismaz 2 GB pieejamās RAM un 10 GB rezerves vietas diskā.

Sistēmas lejupielādes fails ir izpildāms fails, kas izsaiņos kodu un instalēs to kā apakšdirektoriju visur, kur lejupielādējāt pakotni. Piemēram, ja lejupielādējāt to Windows mapē Lejupielādes, visa sistēma tiks iestatīta zem šī direktorija. Koda koks atradīsies apakšdirektorijā arachni-1.5.1-0.5.12-windows-x86_64 .

Arachni lietošana

Arachni sistēma tiek īstenota kā virkne pakešu faili . Inicializējot tīmekļa līdzekļa pilnīgu skenēšanu, secīgi tiek palaisti visi sērijveida faili, katrs izpildot citu testa vektoru. Šī ir pildspalvas testēšanas mēģinājumu sērija, kas aptver pilnu ekspluatācijas veidu klāstu, tostarp HTTP GET uzbrukumus, SQL ievadīšanu, koda ievadīšanu, starpvietņu skriptēšanu un tā tālāk. Kopā ir 40 moduļi kas nodrošina pasīvo pārbaužu un aktīvo mēģinājumu kopumu. Katrs modulis darbosies, izmantojot daudzas iespējamo ievades permutācijas, lai pārbaudītu savu konkrēto aptaujas tēmu. Visu šo darbu var skriešanai nepieciešams ilgs laiks .

Palaižot sistēmu no komandrindas, ekrānā tiek parādīts uz tekstu balstīts ziņojums.

Arachni sistēma

Šis pārskats ir arī saglabāts AFR failu . Šis ir vietējais binārais formāts — AFR apzīmē Arachni Framework Report. Failu var pārveidot dažādos formātos, piemēram, XML, vienkāršajā tekstā un HTML.

Otra piekļuves metode skenerim ir tā Tīmekļa GUI . Diemžēl tas nav īpaši labi dokumentēts sistēmas Wiki, un es gandrīz padevos. Tomēr, ja zināt, kā to palaist, jūsu Arachni novērtējums uzlabosies eksponenciāli.

Lai GUI palaistu, jums ir jāatver komandu uzvednes logs, datorā jāatver Arachni mājas direktorija un jāievada binarachni_web . Jūs redzēsit ziņojumu, kurā teikts, ka klausītājs darbojas localhost: — tā vietā redzēsit skaitli. Dodieties uz savu pārlūkprogrammu un ievadiet šo adresi adreses joslā (piemēram, localhost:9292). Tas atver tīmekļa saskarni. Jums ir jāpiesakās, norādot lietotājvārdu [email protected] un paroli administrators .

Tādējādi tiek atvērta skenera palaišanas lapa, kurā ir pieejamas dažādas iespējas. Es atstāju visus noklusējuma iestatījumus pārbaudei un norādīju a Tieša Modes skenēšana Arachni tīmekļa vietnē plkst https://arachni-scanner.com .

Testa darbības laikā komandu uzvednes logā tiks parādīta atgriezeniskās saites ziņojumu straume:

Komandu uzvednes logs

Tīmekļa interfeiss sniedz reālu progresa ziņojumu:

Arachni tīmekļa saskarne

Skenēšanas atskaites apakšējā daļa parāda radušos problēmu skaitu atkarībā no veida. Noklikšķinot uz kategorijas, tiek parādīts šāda veida skaidrojums.

Arachni tīmekļa saskarne

Lai gan skenēšanas rezultātu izveide AFR formātā ir neskaidra izvēle, lietderība arachni_reporter var pārvērst šo pārskatu HTML formātā. Rezultāti ir iespaidīgi. Šeit ir rezultāti, kas iegūti, skenējot arachni-scanner.com vietne.

rezultāti, kas iegūti, skenējot arachni-scanner.com

Pārskata priekšējā cilnē ir redzamas interaktīvas diagrammas, kuru pamatā ir skenera atklājumi.

Cilnē Problēmas tiek parādīta katra identificētā ievainojamība.

arachni-scanner.com kopsavilkuma lapa

Sīkāku informāciju par katru problēmu var atrast, noklikšķinot uz rindiņas problēmas Ziņot. Sistēma arī izskaidro kļūdu un OWASP sniegto ekspluatācijas aprakstu.

Kopumā Arachni ziņošanas sistēma ir satriecoša.

Arachni stiprās un vājās puses

Arachni ir grūti iepazīt, jo Wiki ceļvedis nav ļoti visaptveroša. Tomēr, tiklīdz jums izdodas paklupt pa sistēmu un iepazīt tās darbības struktūru, jums vajadzētu uzskatīt, ka tas ir iespaidīgs pakalpojums.

Ir vairāki labi un slikti punkti, kas jāatzīmē par Arachni.

Plusi:

  • Iziet cauri visiem OWASP Top 10 kritiskajiem testiem
  • Tam ir gan komandrindas saskarne, gan pārlūkprogrammas GUI
  • Piedāvā virkni testēšanas režīmu
  • Iespaidīgs atskaites rezultāts ar saprotamiem paskaidrojumiem

Mīnusi:

  • Tas nav atjaunināts kopš 2017. gada
  • Nav atbalsta
  • Projekts ir pamests
  • Ir nepieciešams ilgs laiks, lai palaistu

Arachni ir iespiešanās pārbaudes vingrinājumu sērija, kas ieviesta kā pakešfaili un savērta vienā ķēdē, kuru var palaist ar vienu komandu. Tomēr ievainojamības skeneris ir tieši tas – automatizēta pildspalvas testēšanas sesija.

Šo sistēmu kā studentu projektu izstrādāja viens cilvēks un solīja, ka tā būs a komerciāli dzīvotspējīgs rīks. Izstrādātājs ir ieguldījis daudz darba pie šīs pakotnes, un atšķirībā no daudzām entuziastu izveidotajām sistēmām tā darbojas un tajā nav kļūdu. Daudz mantojuma pildspalvu pārbaudes rīki un ievainojamības skenēšanas rīki, kas ir līdzīgi Arachni vecumam, vairs nedarbojas vai ir novecojuši tehnoloģiju attīstības dēļ. Arachni neietilpst šajā kategorijā - tas joprojām darbojas, un tā rezultāti ir saprotami.

Žēl, ka Tasosam Laskosam neizdevās izveidot komandu un atbilstošu projekta ietvaru, lai Arachni paliktu dzīvs. Neapšaubāmi, ņemot vērā visu darbu, ko viņš ir paveicis, veidojot šo lielisko rīku, viņš jutās nenovērtēts un pieveica milzīgas pūles, kas mūsdienās ir vajadzīgas, lai produkts tiktu pamanīts tirgū.

Cerams, ka Laskosa aizstājējs Arachni stāsies spēkā.

Arachni alternatīvas

Arachni ir aizraujošs rīks, un tas īpaši interesētu InfoSec studentus un pildspalvu testētājus. Tomēr projekts ir bijis pamesti nozīmē, ka to nevar uzskatīt par dzīvotspējīgu kandidātu izmantošanai komerciālā vidē. Tātad, ja meklējat rīku, lai veiktu ievainojamības skenēšanu vai izstrādes stadijā esošo tīmekļa lietojumprogrammu ražošanas testēšanu, jums ir jāturpina meklēt.

Mūsu metodika, lai izvēlētos alternatīvu Arachni

Mēs pārskatījām ievainojamības pārvaldnieku un tīmekļa lietojumprogrammu testētāju, piemēram, Arachni, tirgu un novērtējām iespējas, pamatojoties uz šādiem kritērijiem.

  • Pašinstalējoša pakotne
  • Viegli lietojama sistēma, kas piedāvā grafisku interfeisu
  • Pakalpojums, kas automātiski skenē tīmekļa lietojumprogrammu izmantošanu, jo īpaši OWASP Top 10
  • Pakalpojums, ko var izmantot sistēmu administratori, kuri nav kiberdrošības speciālisti
  • Rīks, ko var izmantot izstrādes testēšanai, kā arī ievainojamību skenēšanai
  • Bezmaksas rīks vai sistēma, kas piedāvā bezmaksas izmēģinājuma versiju vai demonstrāciju novērtēšanai
  • Komerciāla līmeņa pakalpojums, kas tiek pilnībā atbalstīts un bieži tiek atjaunināts, lai rīks būtu atbilstošs un izdevīgs

Ņemot vērā šos atlases kritērijus, esam izveidojuši sarakstu ar dažiem izciliem lietojumprogrammu drošības testētājiem un ievainojamības skeneriem, kas atbilst Arachni funkcionalitātei, vienlaikus nodrošinot arī profesionālu atbalstu.

Šeit ir mūsu piecu labāko Arachni alternatīvu saraksts:

  1. Invincible (BEZMAKSAS PIEKĻUVE DEMO) Šis pakalpojums var darboties kā ievainojamības skeneris kā arī kā izstrādes testa vidi. Šī rīka opcijas ļauj veikt skenēšanu pēc pieprasījuma, vai arī varat iestatīt grafiku. Invicti īpaši pārbauda tīmekļa lietojumprogrammas, un to var iestatīt nepārtrauktai darbībai tīmekļa lietojumprogrammu izstrādes komandām. Pakalpojums skenē kodu, kā arī darbojas interaktīvie elementi. Invicti stratēģija meklē loģiskas kļūdas, kas var atklāt datus vai dot hakeriem ieejas punktus. Šis ir ļoti profesionāls pakalpojums, kas tiek atbalstīts visu diennakti. Invicti ir SaaS platforma, bet ir iespējams arī saņemt paketi instalēšanai Windows un Windows Server . Piekļūstiet demonstrācijas sistēmai, lai novērtētu neuzvarētos
  2. Acunetix (BEZMAKSAS PIEKĻUVES DEMO) Šis ir vēl viens pakalpojums, ko var izmantot kā a ievainojamības pārvaldnieks vai nepārtraukta testēšana izstrādes vidē. Trīs izdevumi ir pielāgoti šīs sistēmas izvietošanai. Šis rīks piedāvā tīmekļa lietojumprogrammu skenēšanu, lai noteiktu vairāk nekā 7000 ievainojamību, kā arī ir pieejama tīkla ievainojamību skenēšanas opcija, kurā ir 50 000 meklējamo trūkumu saraksts. Acunetix ir pieejams kā a SaaS platformai vai uzstādīšanai Windows , macOS , vai Linux . Neatkarīgi no tā, kuru komplektu izvēlaties, diennakts palīdzības dienesta pakalpojumi ir iekļauti cenā. Piekļūstiet demonstrācijas sistēmai, lai pārbaudītu Acunetix.
  3. Atklājiet dziļo skenēšanu Šī ir automatizēta testēšanas sistēma, ko sastādīja komanda ētiskie hakeri . Daudzējādā ziņā šī vēsture atspoguļo Arachni vēsturi, kuru apmācībā izveidoja hakeris ar baltu cepuri. Detectify komanda iegūst neticamāku varoņdarbu saraksts nekā lielākajai daļai skeneru, piedāvājot ārštata pētniekiem komisijas maksu, ja viņu atklājumi tiek pievienoti šī skenera ievainojamību datubāzei. Detectify var izmantot izstrādes testēšana vai ievainojamības skenēšana . Abos gadījumos tiek aplūkotas tīmekļa lietojumprogrammas. Detectify ir pieejams divu nedēļu izmēģinājums .
  4. Veracode dinamiskā analīze Tas ir dinamisko lietojumprogrammu sistēmu testēšana (DAST) pakotne, ko var izmantot CI/CD konveijerā, kas piedāvā nepārtrauktu testēšanu vai darbojas kā ievainojamības skeneris dzīvām sistēmām. Pamata skenēšanas pakalpojums ir vienkārši lietojams. Rīks tiek mitināts un nodrošināts kā SaaS platforma, tāpēc jums nav jāinstalē programmatūra. Vienkārši ievadiet tīmekļa līdzekļa URL informācijas panelī un sāciet skenēšanu. Testus var paplašināt un pielāgot, izmantojot iebūvēto skriptu valodu. Veracode dinamisko analīzi var integrēt ar problēmu izsekotājiem un projektu pārvaldības rīkiem automatizēt izšķirtspējas darbplūsmas. Pakalpojumu var novērtēt, piekļūstot tam demo sistēma .
  5. Syxsense Secure Šajā sistēmas sacietēšanas komplektā ietilpst a ievainojamības pārvaldnieks , galapunktu noteikšanas un atbildes pakalpojums (EDR), portu skeneris, ielāpu pārvaldnieks un konfigurācijas pārvaldnieks. EDR tiek instalēts galapunktos, kas darbojas Windows , macOS , un Linux . Šis rīks darbojas arī kā aģents citām paketē iekļautajām sistēmām, kuras visas ir mākoņa iemītnieki. Jūs piekļūstat šim pakalpojumam, izmantojot to SaaS portāls . Komplektā ir iekļauta arī mākoņa krātuves vieta ielāpu instalētājiem un žurnālfailiem. Syxsense Secure ir pieejams 14 dienu bezmaksas izmēģinājums .
^