Arachni的安装

官网地址：http://www.arachni-scanner.com/

Arachni是一个包含很多特性、模块化的、高性能的Ruby框架，目的是帮助渗透测试人员和管理者评估现代web应用程序的安全。Arachni是免费、源代码开源的，它支持所有主流操作系统，如：Windows、Mac OS X 、Linux，通过便携式可移植包的形式进行分发，使其满足即时部署的要求。Arachni可导出评估报告。

Arachni是一个能够满足很多使用场景的通用的安全扫描框架，范围覆盖非常广，既包括小到一个命令行指令的扫描，又包括高性能的网格扫描、脚本认证审计、多用户多web合作平台。此外，它简单的REST API使集成变得轻而易举。

最后，由于其集成的浏览器环境，Arachni可以支持高度复杂的web应用程序，这些应用程序大量使用JavaScript、HTML5、DOM操纵和AJAX等技术。Arachni为现代web应用程序技术提供一流的覆盖率、漏洞检测和准确性。

Arachni下载

点击下载按钮后，在如下图页面中，选择适合自己系统的安装包。本文中选择的是Windows版的arachni-1.5.1-0.5.12-windows-x86_64.exe。

http://www.arachni-scanner.com/download/

Arachni安装

Arachni的两种工作模式

本文中使用的是web应用模式，双击arachni_web.bat，在浏览器中访问http://localhost:9292/ 

Arachni的登录

查看README.txt，里面包含Default account details

1. Arachni - Web Application Security Scanner Framework

2.  

3. Homepage - http://arachni-scanner.com

4. Blog - http://arachni-scanner.com/blog

5. Documentation - https://github.com/Arachni/arachni/wiki

6. Support - http://support.arachni-scanner.com

7. GitHub page - http://github.com/Arachni/arachni

8. Code Documentation - http://rubydoc.info/github/Arachni/arachni

9. Author - Tasos "Zapotek" Laskos (http://twitter.com/Zap0tek)

10. Twitter - http://twitter.com/ArachniScanner

11. Copyright - 2010-2017 Sarosys LLC

12. License - Arachni Public Source License v1.0 -- see LICENSE file)

13. --------------------------------------------------------------------------------

14.  

15. To use Arachni run the executables under "bin\".

16.  

17. To launch the Web interface:

18. bin\arachni_web

19.  

20. Default account details:

21.  

22. Administrator:

23. E-mail address: admin@admin.admin

24. Password: administrator

25.  

26. User:

27. E-mail address: user@user.user

28. Password: regular_user

29.  

30. For a quick scan: via the command-line interface:

31. bin\arachni http://test.com

32.  

33. To see the available CLI options:

34. bin\arachni -h

35.  

36. Upgrading/migrating

37. --------------

38.  

39. To migrate your existing data into this new package please see:

40.  

41. https://github.com/Arachni/arachni-ui-web/wiki/upgrading

42.  

43. Troubleshooting

44. --------------

45. See the included TROUBLESHOOTING file.

46.  

47. Disclaimer

48. --------------

49. Arachni is free software and you are allowed to use it as you see fit.

50. However, I can't be held responsible for your actions or for any damage

51. caused by the use of this software.

52.  

53. Copying

54. --------------

55. For the Arachni license please see the LICENSE file.

56.  

57. The bundled PhantomJS (http://phantomjs.org/) executable is distributed

58. under the BSD license:

59. https://github.com/ariya/phantomjs/blob/master/LICENSE.BSD

输入管理员的email和password

点击登录按钮，进入如下图所示页面

选择合适的数据库

默认情况下，该接口使用一个SQLite3数据库，并且允许无配置的开箱即用体验。但是，这种设置不适合较大的工作负载，可能会导致稳定性问题或崩溃。

如果您计划在任何给定的时间只运行几个扫描，那么应该不会有任何问题，但是，如果您计划运行和管理多个活动扫描和分派器，那么建议您使用PostgreSQL。

不幸的是，您不能在数据库之间移动数据;因此，如果您打算使用默认数据库来评估Arachni，那么在转移到PostgreSQL之前，请避免执行您不希望丢失其数据的操作。

 

点击右上角的Administrator，选择Edit account，可以对当前登录用户的密码进行修改。

Arachni的帮助文档

https://github.com/Arachni/arachni-ui-web/wiki

Arachni新建扫描

Arachni扫描结果

点击具体某个漏洞，可以查看其详情