Arachni: เริ่มต้นใช้งาน
Published in
2 min readMay 29, 2017
web application security scanner framework
การใช้งาน Arachni สามารถใช้ได้ 2 แบบ คือ
- แบบ Command Line User Interface
- แบบ Web User Interface
Command Line User Interface
arachni มี command อยู่หลายตัว เช่น
- arachni ใช้ในการสแกนเว็บไซต์
- arachni_reporter ใช้ในการสร้างรายงานในรูปแบบต่างๆ
- arachni_web ใช้ในการรัน WebUI
- และอื่นๆ
ดูเพิ่มเติมได้ที่ https://github.com/Arachni/arachni/wiki/Executables
มาเริ่มใช้งานแบบง่ายๆ กัน
- สแกน http://example.com แล้วบันทึกผลไว้ที่ไฟล์ example.com.afr
$ arachni --output-verbose --scope-include-subdomains http://example.com --report-save-path=example.com.afr
- ตอนนี้มีรายงานที่อยู่ในรูปไฟล์ .afr แต่อยากได้รายงานที่อ่านได้ง่ายๆ จึงสร้างรายงานจาก example.com.afr ให้เป็น my_report.html.zip
$ arachni_reporter example.com.afr --reporter=html:outfile=my_report.html.zip
- unzip แล้วเปิดที่ file index.html เพื่อดูรายงานผลการสแกน
$ unzip my_report.html.zip
Web User Interface
- เริ่มต้นจากรันเว็บด้วยคำสั่ง
$ arachni_web
- จากนั้นเปิด http://localhost:9292 บน web browser
- sign in ด้วย Administrator account
Email: admin@admin.admin
Password: administrator
ใน WebUI มี interface ดังนี้
- Home เป็นหน้าที่แสดง notification, activity, dashboard
- Scans เป็นหน้าที่แสดงการสแกนเว็บ
- Profiles เป็นหน้าที่ใช้กำหนดค่าต่างๆ ในการสแกน
- Dispatchers
- Users เป็นหน้าที่จัดการผู้ใช้ WebUI
- Settings เป็นหน้าตั้งค่า scan, profile, และgeneral (set timezone)