官网地址:http://www.arachni-scanner.com/
Arachni是一个包含很多特性、模块化的、高性能的Ruby框架,目的是帮助渗透测试人员和管理者评估现代web应用程序的安全。Arachni是免费、源代码开源的,它支持所有主流操作系统,如:Windows、Mac OS X 、Linux,通过便携式可移植包的形式进行分发,使其满足即时部署的要求。Arachni可导出评估报告。
Arachni是一个能够满足很多使用场景的通用的安全扫描框架,范围覆盖非常广,既包括小到一个命令行指令的扫描,又包括高性能的网格扫描、脚本认证审计、多用户多web合作平台。此外,它简单的REST API使集成变得轻而易举。
最后,由于其集成的浏览器环境,Arachni可以支持高度复杂的web应用程序,这些应用程序大量使用JavaScript、HTML5、DOM操纵和AJAX等技术。Arachni为现代web应用程序技术提供一流的覆盖率、漏洞检测和准确性。
Arachni下载
点击下载按钮后,在如下图页面中,选择适合自己系统的安装包。本文中选择的是Windows版的arachni-1.5.1-0.5.12-windows-x86_64.exe。
http://www.arachni-scanner.com/download/
Arachni安装
Arachni的两种工作模式
本文中使用的是web应用模式,双击arachni_web.bat,在浏览器中访问http://localhost:9292/
Arachni的登录
查看README.txt,里面包含Default account details
-
Arachni - Web Application Security Scanner Framework
-
Homepage - http://arachni-scanner.com
-
Blog - http://arachni-scanner.com/blog
-
Documentation - https://github.com/Arachni/arachni/wiki
-
Support - http://support.arachni-scanner.com
-
GitHub page - http://github.com/Arachni/arachni
-
Code Documentation - http://rubydoc.info/github/Arachni/arachni
-
Author - Tasos "Zapotek" Laskos (http://twitter.com/Zap0tek)
-
Twitter - http://twitter.com/ArachniScanner
-
Copyright - 2010-2017 Sarosys LLC
-
License - Arachni Public Source License v1.0 -- see LICENSE file)
-
--------------------------------------------------------------------------------
-
To use Arachni run the executables under "bin\".
-
To launch the Web interface:
-
bin\arachni_web
-
Default account details:
-
Administrator:
-
E-mail address: admin@admin.admin
-
Password: administrator
-
User:
-
E-mail address: user@user.user
-
Password: regular_user
-
For a quick scan: via the command-line interface:
-
bin\arachni http://test.com
-
To see the available CLI options:
-
bin\arachni -h
-
Upgrading/migrating
-
--------------
-
To migrate your existing data into this new package please see:
-
https://github.com/Arachni/arachni-ui-web/wiki/upgrading
-
Troubleshooting
-
--------------
-
See the included TROUBLESHOOTING file.
-
Disclaimer
-
--------------
-
Arachni is free software and you are allowed to use it as you see fit.
-
However, I can't be held responsible for your actions or for any damage
-
caused by the use of this software.
-
Copying
-
--------------
-
For the Arachni license please see the LICENSE file.
-
The bundled PhantomJS (http://phantomjs.org/) executable is distributed
-
under the BSD license:
-
https://github.com/ariya/phantomjs/blob/master/LICENSE.BSD
输入管理员的email和password
点击登录按钮,进入如下图所示页面
选择合适的数据库
默认情况下,该接口使用一个SQLite3数据库,并且允许无配置的开箱即用体验。但是,这种设置不适合较大的工作负载,可能会导致稳定性问题或崩溃。
如果您计划在任何给定的时间只运行几个扫描,那么应该不会有任何问题,但是,如果您计划运行和管理多个活动扫描和分派器,那么建议您使用PostgreSQL。
不幸的是,您不能在数据库之间移动数据;因此,如果您打算使用默认数据库来评估Arachni,那么在转移到PostgreSQL之前,请避免执行您不希望丢失其数据的操作。
点击右上角的Administrator,选择Edit account,可以对当前登录用户的密码进行修改。
Arachni的帮助文档
https://github.com/Arachni/arachni-ui-web/wiki
Arachni新建扫描
Arachni扫描结果
点击具体某个漏洞,可以查看其详情