Arachni: เริ่มต้นใช้งาน

web application security scanner framework

การใช้งาน Arachni สามารถใช้ได้ 2 แบบ คือ

1. แบบ Command Line User Interface
2. แบบ Web User Interface

Command Line User Interface

arachni มี command อยู่หลายตัว เช่น

• arachni ใช้ในการสแกนเว็บไซต์
• arachni_reporter ใช้ในการสร้างรายงานในรูปแบบต่างๆ
• arachni_web ใช้ในการรัน WebUI
• และอื่นๆ

ดูเพิ่มเติมได้ที่ https://github.com/Arachni/arachni/wiki/Executables

มาเริ่มใช้งานแบบง่ายๆ กัน

• สแกน http://example.com แล้วบันทึกผลไว้ที่ไฟล์ example.com.afr

$ arachni --output-verbose --scope-include-subdomains http://example.com --report-save-path=example.com.afr

รูปที่ 1 — การสแกนเว็บ

• ตอนนี้มีรายงานที่อยู่ในรูปไฟล์ .afr แต่อยากได้รายงานที่อ่านได้ง่ายๆ จึงสร้างรายงานจาก example.com.afr ให้เป็น my_report.html.zip

$ arachni_reporter example.com.afr --reporter=html:outfile=my_report.html.zip

• unzip แล้วเปิดที่ file index.html เพื่อดูรายงานผลการสแกน

$ unzip my_report.html.zip

รูปที่ 2 — รายงานในรูปแบบ html

Web User Interface

• เริ่มต้นจากรันเว็บด้วยคำสั่ง

$ arachni_web

รูปที่ 3 — การรัน WebUI

• จากนั้นเปิด http://localhost:9292 บน web browser

รูปที่ 4 — หน้า sign in ของ WebUI

• sign in ด้วย Administrator account
  Email: admin@admin.admin
  Password: administrator

รูปที่ 5 — หน้าแรกหลังจาก sign in (Home)

ใน WebUI มี interface ดังนี้

• Home เป็นหน้าที่แสดง notification, activity, dashboard
• Scans เป็นหน้าที่แสดงการสแกนเว็บ
• Profiles เป็นหน้าที่ใช้กำหนดค่าต่างๆ ในการสแกน
• Dispatchers
• Users เป็นหน้าที่จัดการผู้ใช้ WebUI
• Settings เป็นหน้าตั้งค่า scan, profile, และgeneral (set timezone)

ตัวอย่าง หน้า Profiles

ตัวอย่าง หน้า Dispatchers

ตัวอย่าง หน้า Users

ตัวอย่าง หน้า Settings

Reference

• website: http://www.arachni-scanner.com/
• doc: https://github.com/Arachni/arachni/wiki
• cmd ui: https://github.com/Arachni/arachni/wiki/Command-line-user-interface
• web ui: https://github.com/Arachni/arachni-ui-web/wiki