Arachni: ทำอะไรได้บ้าง ?

web application security scanner framework

http://www.arachni-scanner.com

Arachni เป็น Ruby framework ที่ช่วยในการทดสอบความมั่นคงปลอดภัยของเว็บแอปพลิเคชันสมัยใหม่ ใช้งานได้ฟรี รองรับทั้งระบบปฏิบัติการ Windows, MacOS X, และ Linux

ช่องโหว่ที่ Arachni สามารถตรวจสอบได้ เช่น

• XSS
• SQL injection
• NoSQL injection
• Code injection
• File inclusion variants
• และอื่นๆ

สร้าง profile เพื่อ นำไปใช้ scan

ตัวอย่างการ scan ตาม profile

มีการรายงานผลอย่างละเอียด โดยแสดงว่าเป็นช่องโหว่ประเภทใด ความรุนแรงระดับใด เกิดขึ้นที่ path ใด ตรง tag ใด และมีรายละเอียดว่าช่องโหว่ประเภทนี้ทำความเสียหายอย่างไรบ้าง และมีแนวทางในการแก้ไขปัญหาด้วย

เราสามารถ export รายงานออกมาในรูปแบบต่างๆ ได้แก่

• HTML (zip)
• JSON
• Marshal
• XML
• YAML
• AFR

ตัวอย่าง report #1

ตัวอย่าง report #2

สามารถใช้ได้ 2 แบบ คือ

1. แบบ Command Line User Interface
2. แบบ Web User Interface

ตัวอย่าง CLI

ตัวอย่าง WebUI

สุดท้ายดาวน์โหลด Arachni ได้ที่ http://www.arachni-scanner.com/download/

References

• website: http://www.arachni-scanner.com/
• doc: https://github.com/Arachni/arachni/wiki