Arachni(漏洞扫描)安装及简单使用
一、概述
Arachni是一款开源的非常好用的漏洞扫描工具。它是一个包含很多特性、模块化的、高性能的Ruby框架,目的是帮助渗透测试人员和管理者评估现代web应用程序的安全。Arachni是免费、源代码开源的,它支持所有主流操作系统,如:Windows、MacOSX、Linux,通过便携式可移植包的形式进行分发,使其满足即时部署的要求。Arachni可导出评估报告。
Arachni是一个能够满足很多使用场景的通用的安全扫描框架,范围覆盖非常广,既包括小到一个命令行指令的扫描,又包括高性能的网格扫描、脚本认证审计、多用户多web合作平台。此外,它简单的RESTAPI使集成变得轻而易举
Arachni集成的浏览器环境,可以支持高度复杂的web应用程序,这些应用程序大量使用JavaScript、HTML5、DOM操纵和AJAX等技术。Arachni为现代web应用程序技术提供一流的覆盖率、漏洞检测和准确性。
官网:
Github:
帮助文档:
二、Linux下的安装及使用
1.环境
OS:
测试服务器IP:192.168.168.102
注:系统为最小化安装,部署前已完成系统初始化、内核及安全优化,iptables防火墙开启。
2.下载
cd/data/toolswget
3.解压安装
_64./usr/local
4.启动
cd/usr/local//binnohup./arachni_//需指定IP,否则无法在Windows下访问,默认启动主机为localhost、端口为9292
5.登录arachni
在浏览器中访问http://IP:8888/
注:①本文档服务器IP地址为192.168.168.102;
②防火墙需放开8888端口。
登录arachni
切换软件安装根目录,查看README,里面包含默认用户登录信息。
cd/usr/local/
catREADME
输入管理员的E-mail和Password
选择合适的数据库
默认情况下,该接口使用一个SQLite3数据库,并且允许无配置的开箱即用体验。但是,这种设置不适合较大的工作负载,可能会导致稳定性问题或崩溃。
如果您计划在任何给定的时间只运行几个扫描,那么应该不会有任何问题,但是,如果您计划运行和管理多个活动扫描和分派器,那么建议您使用PostgreSQL。
不幸的是,您不能在数据库之间移动数据;因此,如果您打算使用默认数据库来评估Arachni,那么在转移到PostgreSQL之前,请避免执行您不希望丢失其数据的操作。
6.扫描站点
新建扫描
输入需要扫描URL,选择扫描策略。
扫描结果
三、Windows下的安装及使用
1.环境
OS:Windows1064位专业版
2.下载软件包
访问官网下载页面,在如下图页面中,选择适合自己系统的安装包。本文中选择的是Windows版的_64.exe。
3.安装
下载后,双击程序包解压即可
4.工作模式
Arachni有两种工作模式,命令行模式和web应用模式,如下图所示。
5.登录arachni
本文中使用web应用模式,双击arachni_,显示如下页面
在浏览器中访问http://localhost:9292/
登录arachni
打开软件安装目录,查看,里面包含默认用户登录信息。
输入管理员的E-mail和Password
选择合适的数据库
默认情况下,该接口使用一个SQLite3数据库,并且允许无配置的开箱即用体验。但是,这种设置不适合较大的工作负载,可能会导致稳定性问题或崩溃。
如果您计划在任何给定的时间只运行几个扫描,那么应该不会有任何问题,但是,如果您计划运行和管理多个活动扫描和分派器,那么建议您使用PostgreSQL。
不幸的是,您不能在数据库之间移动数据;因此,如果您打算使用默认数据库来评估Arachni,那么在转移到PostgreSQL之前,请避免执行您不希望丢失其数据的操作。
6.站点扫描
新建扫描
输入扫描URL,选择扫描策略。
扫描结果
