Tạo bài viết
Đăng ký
26/10/2019, 11:08

Arachni scanner - Framework kiểm tra khả năng bảo mật của ứng dụng web

Arachni là một framework phục vụ cho tester và admin đánh giá khả năng bảo mật của ứng dụng web. Framework này sử dụng được trên các hệ điều hành MS Windows, Mac OS X và Linux. Nó được phát hành dưới dạng portable package, nên cho phép sử dụng ngay lập tức. Do được tích hợp vào trình duyệt, ...

Arachni là một framework phục vụ cho tester và admin đánh giá khả năng bảo mật của ứng dụng web. Framework này sử dụng được trên các hệ điều hành MS Windows, Mac OS X và Linux. Nó được phát hành dưới dạng portable package, nên cho phép sử dụng ngay lập tức. Do được tích hợp vào trình duyệt, framework này có thể hỗ trợ những ứng dụng web phức tạp được tạo bởi các công nghệ như JavaScript, HTML5, DOM manipulation và AJAX.

Arachni SonarQube Grabber
Sử dụng Có giao diện trên web Có giao diện trên web Gõ lệnh trong terminal
-------- -------- -------- --------
Phạm vi hoạt động Quét khả năng bảo mật Quét code smell, code coverage, khả năng bảo mật, ... Quét khả năng bảo mật
-------- -------- -------- --------
Cấu hình Dễ dàng qua giao diện Dễ dàng qua giao diện Bằng file conf
-------- -------- -------- --------
Output report Giao diện dễ nhìn, hỗ trợ nhiều định dạng Giao diện dễ nhìn, chỉ rõ vị trí có issue trong code File XML

Arachni thực hiện check khả năng bảo mật và log các issue vào report.

Active check

Active check tấn công ứng dụng web thông qua các input

  • SQL injection (sql_injection).
  • Blind SQL injection dựa vào nội dung phản hồi (sql_injection_differential).
  • Blind SQL injection dựa vào độ trễ của thời gian phản hồi (sql_injection_timing).
  • NoSQL injection (no_sql_injection).
  • Phát hiện kỹ thuật tấn công CSRF (csrf).
  • Code injection (code_injection).
  • Blind code injection dựa vào độ trễ của thời gian phản hồi (code_injection_timing).
  • LDAP injection (ldap_injection).
  • v.v.... Chi tiết xem ở đây.

Passive check

Passive check kiểm tra các file, thư mục, và các khóa đang sử dụng

  • Các HTTP method được cấp quyền (allowed_methods).
  • Các file backup (backup_files).
  • Các thư mục backup (backup_directories).
  • Common administration interfaces (common_admin_interfaces).
  • Common directories (common_directories).
  • Common files (common_files).
  • HTTP PUT (http_put).
  • v.v.... Chi tiết xem ở đây.
  1. Vào https://www.arachni-scanner.com/ tải về bản mới nhất. Click file exe vừa tải về sẽ giải nén ra một thư mục Arachni portable dùng được ngay. Trong thư mục này, xem hướng dẫn sử dụng trong README.
  2. Vào thư mục Arachni > bin. Bật arachni_web sẽ mở màn hình cmd như sau.
  3. Mở trình duyệt, vào http://localhost:9292 để truy cập giao diện web của Arachni
  4. Vào Scans để xem danh sách scan đang chạy (Active), đã hoàn thành (Finished), tạm ngừng (Suspended).
  5. Vào Scans > New, nhập URL để bắt đầu quét khả năng bảo mật của trang web.
  6. Vào Scans > Schedule để lập lịch quét. Có thể lập lịch quét tại thời điểm mong muốn, quét định kì.
  7. Vào Profiles để xem danh sách cấu hình. Ta có thể xem, sửa, sao chép, xóa, export cấu hình trong danh sách.
  8. Vào Profiles > New để tạo cấu hình mới.

Tạ Quốc Bảo

23 chủ đề

7270 bài viết

Có thể bạn quan tâm
0
Các chủ đề đang được quan tâm
phần mềm lập trình php | lập trình web php + mysql | khóa học lập trình php | tự học lập trình php | học php cơ bản thachpham | Code24h | Cho thuê phòng trọ hà nội | Cho thuê phòng trọ bình thạnh | Cho thuê phòng trọ | Cho thuê nhà trọ
Đăng ký

Đăng ký nhận thông báo

Các bài học thú vị sẽ được gửi đến inbox của bạn

HỖ TRỢ HỌC VIÊN
VỀ CODE24H
HỢP TÁC VÀ LIÊN KẾT
KẾT NỐI VỚI CHÚNG TÔI
TẢI ỨNG DỤNG TRÊN ĐIỆN THOẠI

CCode 24h, code mọi lúc, mọi nơi

© Copy right 2018 - 2024