开源Web漏洞扫描工具–Arachni
下载地址:
官网地址:http://www.arachni-scanner.com/
Arachni是一个包含很多特性、模块化的、高性能的Ruby框架,目的是帮助渗透测试人员和管理者评估现代web应用程序的安全。Arachni是免费、源代码开源的,它支持所有主流操作系统,如:Windows、Mac OS X 、Linux,通过便携式可移植包的形式进行分发,使其满足即时部署的要求。Arachni可导出评估报告。
Arachni是一个能够满足很多使用场景的通用的安全扫描框架,范围覆盖非常广,既包括小到一个命令行指令的扫描,又包括高性能的网格扫描、脚本认证审计、多用户多web合作平台。此外,它简单的REST API使集成变得轻而易举。
最后,由于其集成的浏览器环境,Arachni可以支持高度复杂的web应用程序,这些应用程序大量使用JavaScript、HTML5、DOM操纵和AJAX等技术。Arachni为现代web应用程序技术提供一流的覆盖率、漏洞检测和准确性。
1、Arachni下载
点击下载按钮后,在如下图页面中,选择适合自己系统的安装包。本文中选择的是Windows版的arachni-1.5.1-0.5.12-windows-x86_64.exe。
http://www.arachni-scanner.com/download/
2、Arachni安装
Arachni的两种工作模式
本文中使用的是web应用模式,双击arachni_web.bat,在浏览器中访问http://localhost:9292/
3、Arachni的登录
查看README.txt,里面包含Default account details
输入管理员的email和password
Arachni的帮助文档
https://github.com/Arachni/arachni-ui-web/wiki
4、Arachni新建扫描
5、Arachni扫描结果
点击具体某个漏洞,可以查看其详情