arachni

Arachni se dirige hacia la obsolescencia, ¡pruebe su sucesor de próxima generación Ecsypno Codename SCNR!

Arachni es un marco Ruby de alto rendimiento completo, modular y de alto rendimiento destinado a ayudar a los probadores y administradores de penetración a evaluar la seguridad de las aplicaciones web.

Es inteligente, se capacita monitoreando y aprendiendo del comportamiento de la aplicación web durante el proceso de exploración y es capaz de realizar un metanálisis utilizando una serie de factores para evaluar correctamente la confiabilidad de los resultados e identificar (o evitar) falsos positivos.

A diferencia de otros escáneres, tiene en cuenta la naturaleza dinámica de las aplicaciones web, puede detectar cambios causados ​​mientras viajan a través de las rutas de la complejidad ciclomática de una aplicación web y puede ajustarse en consecuencia. De esta manera, los vectores de ataque/entrada que de otro modo serían indetectables por los no humanos pueden manejarse sin problemas.

Además, debido a su entorno integrado de navegador, también puede auditar e inspeccionar el código del lado del cliente, así como admitir aplicaciones web altamente complicadas que hacen un uso intensivo de tecnologías como JavaScript, HTML5, DOM Manipulación y AJAX.

Finalmente, es lo suficientemente versátil como para cubrir una gran cantidad de casos de uso, que van desde una simple utilidad del escáner de línea de comandos, hasta una cuadrícula global de escáneres de alto rendimiento, hasta una biblioteca Ruby que permite auditorías con guión, hasta una plataforma de colaboración web múltiple de múltiples usuarios.

Nota : A pesar del hecho de que Arachni está dirigido principalmente a la seguridad de las aplicaciones web, se puede utilizar fácilmente para raspar, minería de datos, etc. con la adición de componentes personalizados.

Los desarrolladores Check , report y plugin pueden crear e implementar fácilmente sus componentes con la cantidad mínima de restricciones impuestas sobre ellos, mientras se les proporciona la infraestructura necesaria para lograr sus objetivos.

Además, se les alienta a aprovechar al máximo el lenguaje de Ruby bajo un marco unificado que aumentará su productividad sin sofocarlos o complicar sus tareas.

Además, ese mismo marco se puede utilizar como cualquier otra biblioteca de Ruby y conducir al desarrollo de escáneres nuevos o ayudarlo a crear escenarios de escaneo/auditoría altamente personalizados y/o escaneos escritos.

Aunque algunas partes del marco son bastante complejas, nunca tendrá que tratarlas directamente. Desde el punto de vista del desarrollador de un usuario o un componente, todo parece simple y directo todo el tiempo proporcionando potencia, rendimiento y flexibilidad.

Desde el simple escáner de utilidad de línea de comandos hasta la plataforma de interfaz y colaboración intuitiva y fácil de usar, Arachni sigue el principio de menor sorpresa y le proporciona muchos comentarios y orientación.

Arachni está diseñado para detectar automáticamente problemas de seguridad en aplicaciones web. Todo lo que espera es la URL del sitio web objetivo y después de un tiempo le presentará sus hallazgos.

• Soporte de cookie-jar/cookie-string.
• Soporte de encabezado personalizado.
• Soporte SSL con opciones de grano fino.
• AGENTE DE USUARIO SPARO.
• Soporte proxy para SOCKS4, SOCKS4A, SOCKS5, HTTP/1.1 y HTTP/1.0.
• Autenticación proxy.
• Autenticación del sitio (basada en SSL, basada en forma, cookie-jar, básico digest, NTLMV1, Kerberos y otros).
• Detección automática de cierre de sesión y volver a iniciar durante el escaneo (cuando el inicio de sesión inicial se realizó a través de los complementos autologin , login_script o proxy ).
• Detección personalizada de 404 páginas.
• Abstracción de UI:
  • Interfaz de línea de comandos.
  • Interfaz de usuario web.
• PAUSE/CURMA Funcionalidad.
• Soporte de hibernación: suspender y restaurar del disco.
• Solicitudes HTTP asíncronas de alto rendimiento.
  • Con concurrencia ajustable.
  • Con la capacidad de detectar automáticamente la salud del servidor y ajustar su concurrencia automáticamente.
• Soporte para valores de entrada predeterminados personalizados, utilizando pares de patrones (para que coincidan con los nombres de entrada) y los valores que se utilizarán para completar las entradas coincidentes.

Arachni incluye un entorno integrado de navegador real para proporcionar una cobertura suficiente a las aplicaciones web modernas que utilizan tecnologías como HTML5, JavaScript, Manipulación DOM, AJAX, etc.

Además del monitoreo de los entornos Vanilla DOM y JavaScript, los navegadores de Arachni también conectan a los marcos populares para hacer que los datos registrados sean más fáciles de digerir:

• JQuery
• Angularjs
• Más por venir ...

En esencia, esto convierte a Arachni en un depurador DOM y JavaScript, lo que le permite monitorear los eventos DOM y los datos y los flujos de ejecución de JavaScript. Como resultado, el sistema no solo puede activar e identificar problemas basados ​​en DOM, sino que los acompañará con una gran cantidad de información sobre el estado de la página en ese momento.

La información relevante incluye:

• Página DOM, como código HTML.
  • Con una lista de transiciones DOM necesarias para restaurar el estado de la página al momento en que se registró.
• DOM original (es decir, antes de la acción que hizo que la página se registrara), como código HTML.
  • Con una lista de transiciones DOM.
• Fregaderos de flujo de datos: cada sumidero es un método JS que recibió un argumento contaminado.
  • Objeto principal del método (Ex.: DOMWindow ).
  • Método Firma (Ex.: decodeURIComponent() ).
  • Lista de argumentos.
    • Con la mancha identificada ubicada recursivamente en los objetos incluidos.
  • Método Código fuente.
  • JS Stacktrace.
• Funciones de flujo de ejecución: cada sumidero es una carga útil JS ejecutada con éxito, según lo inyectado por los cheques de seguridad.
  • Incluye un JS Stacktrace.
• JavaScript Stack-straces incluyen:
  • Nombres de métodos.
  • Ubicaciones de métodos.
  • Método Códigos de origen.
  • Listas de argumentos.

En esencia, tiene acceso a la misma información que su depurador favorito (por ejemplo, Firebug) proporcionaría, como si hubiera establecido un punto de ruptura en el momento adecuado para identificar un problema.

El clúster del navegador es lo que coordina el análisis del navegador de los recursos y permite que el sistema realice operaciones que normalmente llevarían mucho tiempo de manera de alto rendimiento.

Las opciones de configuración incluyen:

• El tamaño de la piscina ajustable, es decir, la cantidad de trabajadores del navegador para utilizar.
• Tiempo de espera para cada trabajo.
• El TTL de los trabajadores contó en trabajos: los trabajadores que exceden el TTL tienen su proceso de navegador reemplazado.
• Capacidad para deshabilitar las imágenes de carga.
• Ancho de pantalla ajustable y altura.
  • Se puede utilizar para analizar aplicaciones receptivas y móviles.
• Capacidad para esperar hasta que aparezcan ciertos elementos en la página.
• Datos de almacenamiento locales configurables.

El sistema puede proporcionar una gran cobertura a las aplicaciones web modernas debido a su entorno integrado de navegador. Esto le permite interactuar con aplicaciones complejas que hacen un uso pesado del código del lado del cliente (como JavaScript) como lo haría un humano.

Además de eso, también sabe qué cambia el estado del navegador la aplicación ha sido programada para manejar y puede activarlos programáticamente para proporcionar cobertura para un conjunto completo de posibles escenarios.

Al inspeccionar todas las páginas posibles y sus estados (cuando se usa el código del lado del cliente) Arachni puede extraer y auditar los siguientes elementos y sus entradas:

• Formularios
  • Junto con los que requieren interacción a través de un navegador real debido a eventos DOM.
• Formularios de interfaz de usuario
  • Grupos de entrada y botón que no pertenecen a un elemento HTML <form> , pero en su lugar se asocian a través del código JS.
• Entradas de interfaz de usuario
  • Elementos huérfanos <input> con eventos DOM asociados.
• Campo de golf
  • Junto con los que tienen parámetros del lado del cliente en su fragmento, es decir: http://example.com/#/?param=val&param2=val2
  • Con apoyo a las reglas de reescritura.
• LinkTemplates, que permite la extracción de entradas arbitrarias de rutas genéricas, basadas en plantillas proporcionadas por el usuario, útil cuando las reglas de reescritura no están disponibles.
  • Junto con los que tienen parámetros del lado del cliente en sus fragmentos de URL, es decir: http://example.com/#/param/val/param2/val2
• Galletas
  • También es compatible con cookies anidadas, que contienen pares de valor clave dentro de las cookies individuales.
• Encabezado
• Elementos genéricos del lado del cliente que tienen eventos DOM asociados.
• Parámetros de solicitud AJAX.
• JSON Solicitar datos.
• Datos de solicitud de XML.

Arachni está diseñado para encajar en su flujo de trabajo e integrarse fácilmente con su infraestructura existente.

Dependiendo del nivel de control que necesita sobre el proceso, puede elegir el servicio REST o el protocolo RPC personalizado.

Ambos enfoques te permiten:

• Monitorear y gestionar de forma remota.
• Realice múltiples escaneos al mismo tiempo: cada escaneo se compartimenta a su propio proceso del sistema operativo para aprovechar:
  • Arquitecturas de múltiples núcleos/SMP.
  • Programación/restricciones de nivel del sistema operativo.
  • Propagación de falla de arena.
• Comunicarse a través de un canal seguro.

• API muy simple y directa.
• Fácil interoperabilidad con sistemas no rubíes.
  • Funciona a través de HTTP.
  • Utiliza JSON para formatear mensajes.
• Monitoreo de escaneo con estado.
  • Las sesiones únicas automáticamente solo reciben actualizaciones al sondear para el progreso, en lugar de los datos completos.

• Protocolo de comunicación de alto rendimiento/bajo ancho de banda.
  • Serialización de MessagePack para rendimiento, eficiencia y facilidad de integración con sistemas de terceros.
• Red:
  • Autosanación.
  • Escalar hacia arriba/hacia abajo por nodos en caliente/incrustados en caliente.
    • Puede escalar infinitamente agregando nodos para aumentar la capacidad de escaneo.
  • (Siempre encendido) Balance de carga: todas las instancias son proporcionadas automáticamente por el miembro de la cuadrícula menos cargado.
    • Con opción por escane opcional de exclusión/anulación.
  • (Opcional) Modo de alto rendimiento: combina los recursos de múltiples nodos para realizar escaneos de múltiples instancias.
    • Habilitado por escanear.

• Filtros para páginas redundantes como galerías, catálogos, etc. basados ​​en expresiones y contadores regulares.
  • Opcionalmente, puede detectar e ignorar las páginas redundantes automáticamente.
• Filtros de exclusión de URL utilizando expresiones regulares.
• Filtros de exclusión de la página basados ​​en el contenido, utilizando expresiones regulares.
• Filtros de inclusión de URL utilizando expresiones regulares.
• Se puede ver solo a seguir las rutas HTTPS y no rebajar a HTTP.
• Opcionalmente puede seguir subdominios.
• Límite de recuento de páginas ajustable.
• Límite de redirección ajustable.
• Límite de profundidad de directorio ajustable.
• Límite de profundidad DOM ajustable.
• Ajuste utilizando reglas de reescritura de URL.
• Puede leer rutas de múltiples archivos suministrados por los usuarios (para restringir y extender el alcance).

• Puede auditar:
  • Formularios
    • Puede actualizar automáticamente los tokens Nonce.
    • Puede enviarlos a través del entorno integrado del navegador.
  • Formularios de interfaz de usuario
    • Grupos de entrada y botón que no pertenecen a un elemento HTML <form> , pero en su lugar se asocian a través del código JS.
  • Entradas de interfaz de usuario
    • Elementos huérfanos <input> con eventos DOM asociados.
  • Campo de golf
    • Puede cargarlos a través del entorno integrado del navegador.
  • LinkTemplates
    • Puede cargarlos a través del entorno integrado del navegador.
  • Galletas
    • Puede cargarlos a través del entorno integrado del navegador.
  • Encabezado
  • Elementos DOM genéricos del lado del cliente.
  • JSON Solicitar datos.
  • Datos de solicitud de XML.
• Puede ignorar las páginas binarias/sin texto.
• ¿Pueden los elementos de auditoría utilizando los métodos GET y POST HTTP?
• Puede inyectar cargas útiles sin procesar y codificadas HTTP.
• Puede enviar todos los enlaces y formularios de la página junto con las permutaciones de cookies para proporcionar una amplia cobertura de audición de cookies.
• Puede excluir vectores de entrada específicos por nombre.
• Puede incluir vectores de entrada específicos por nombre.

Arachni es un sistema altamente modular, que emplea varios componentes de tipos distintos para realizar sus deberes.

Además de habilitar o deshabilitar los componentes agrupados para ajustar el comportamiento y las características del sistema según sea necesario, la funcionalidad se puede extender mediante la adición de componentes creados por el usuario para adaptarse a casi todas las necesidades.

Para hacer un uso eficiente del ancho de banda disponible, Arachni realiza huellas dactilares de plataforma rudimentarias y adapta el proceso de auditoría a las tecnologías implementadas del lado del servidor solo utilizando cargas útiles aplicables.

Actualmente, se pueden identificar las siguientes plataformas:

• Sistemas operativos
  • BSD
  • Linux
  • Desastre
  • Windows
  • Solaris
• Servidores web
  • apache
  • Iis
  • Nginx
  • Gato
  • Embarcadero
  • Pistolero
• Lenguajes de programación
  • Php
  • ÁSPID
  • Aspx
  • Java
  • Pitón
  • Rubí
• Marcos
  • Estante
  • Pastelera
  • Rieles
  • Django
  • ASP.NET MVC
  • JSF
  • Cherrypy
  • Nette
  • Simpatía

El usuario también tiene la opción de especificar plataformas adicionales (como un servidor DB) para ayudar al sistema a ser lo más eficiente posible. Alternativamente, las huellas digitales se pueden deshabilitar por completo.

Finalmente, Arachni siempre se equivocará por la precaución y enviará todas las cargas útiles disponibles cuando no identifique plataformas específicas.

Las verificaciones son componentes del sistema que realizan comprobaciones de seguridad y problemas de registro.

Las verificaciones activas involucran la aplicación web a través de sus entradas.

• Inyección SQL ( sql_injection ) - Detección basada en errores.
  • Oráculo
  • Interbase
  • Postgresql
  • Mysql
  • MSSQL
  • EMC
  • Sqlite
  • DB2
  • Informix
  • Pájaro de fuego
  • SAP Max DB
  • Sybase
  • Cadena de frontal
  • Engrasas
  • Hsqldb
  • MS Access
• Inyección ciega de SQL utilizando análisis diferencial ( sql_injection_differential ).
• Inyección ciega de SQL utilizando ataques de tiempo ( sql_injection_timing ).
  • Mysql
  • Postgresql
  • MSSQL
• Inyección nosql ( no_sql_injection ) - Detección de vulnerabilidad basada en errores.
  • Mongodb
• Inyección ciego nosql utilizando análisis diferencial ( no_sql_injection_differential ).
• Detección CSRF ( csrf ).
• Inyección de código ( code_injection ).
  • Php
  • Rubí
  • Pitón
  • Java
  • ÁSPID
• Inyección de código ciega usando ataques de tiempo ( code_injection_timing ).
  • Php
  • Rubí
  • Pitón
  • Java
  • ÁSPID
• Inyección LDAP ( ldap_injection ).
• Traversal de ruta ( path_traversal ).
  • *nada
  • Windows
  • Java
• File Inclusion ( file_inclusion ).
  • *nada
  • Windows
  • Java
  • Php
  • Perl
• División de respuesta ( response_splitting ).
• Inyección de comando OS ( os_cmd_injection ).
  • *nada
  • *BSD
  • IBM AIX
  • Windows
• Inyección de comando ciegos de comando utilizando ataques de sincronización ( os_cmd_injection_timing ).
  • Linux
  • *BSD
  • Solaris
  • Windows
• Inclusión de archivos remotos ( rfi ).
• Redireccionamientos no validados ( unvalidated_redirect ).
• Redireccionamientos DOM no validados ( unvalidated_redirect_dom ).
• Inyección XPath ( xpath_injection ).
  • Genérico
  • Php
  • Java
  • punteado
  • libxml2
• XSS ( xss ).
• Ruta XSS ( xss_path ).
• XSS en eventos Atributos de elementos HTML ( xss_event ).
• XSS en etiquetas HTML ( xss_tag ).
• XSS en el contexto de script ( xss_script_context ).
• DOM XSS ( xss_dom ).
• Contexto de script DOM XSS ( xss_dom_script_context ).
• Divulgación del código fuente ( source_code_disclosure )
• Entidad externa XML ( xxe ).
  • Linux
  • *BSD
  • Solaris
  • Windows

Los controles pasivos buscan la existencia de archivos, carpetas y firmas.

• Métodos HTTP permitidos ( allowed_methods ).
• Archivos de respaldo ( backup_files ).
• Directorios de respaldo ( backup_directories )
• Interfaces de administración comunes ( common_admin_interfaces ).
• Directorios comunes ( common_directories ).
• Archivos comunes ( common_files ).
• Http put ( http_put ).
• Protección insuficiente de la capa de transporte para formularios de contraseña ( unencrypted_password_form ).
• Detección WebDav ( webdav ).
• Detección de rastreo HTTP ( xst ).
• Divulgación del número de tarjeta de crédito ( credit_card ).
• Divulgación del usuario CVS/SVN ( cvs_svn_users ).
• Divulgación de dirección IP privada ( private_ip ).
• Palas traseras comunes ( backdoors ).
• .htaccess Limite mal configuración ( htaccess_limit ).
• Respuestas interesantes ( interesting_responses ).
• Objeto html grepper ( html_objects ).
• Divulgación de dirección de correo electrónico ( emails ).
• Divulgación del número de seguridad social de los Estados Unidos ( ssn ).
• Listado de directorio contundente ( directory_listing ).
• Recurso mixto/secuencia de comandos ( mixed_resource ).
• Cookies inseguras ( insecure_cookies ).
• Cookies httponly ( http_only_cookies ).
• Auto-complete para los campos de formulario de contraseña ( password_autocomplete ).
• Origin Spoof Access Restriction bypass ( origin_spoof_access_restriction_bypass )
• Carga basada en formularios ( form_upload )
• localstart.asp ( localstart_asp )
• Conjunto de cookies para el dominio principal ( cookie_set_for_parent_domain )
• Falta de encabezados Strict-Transport-Security para sitios HTTPS ( hsts ).
• Falta de encabezados X-Frame-Options ( x_frame_options ).
• Política insegura CORS ( insecure_cors_policy ).
• Política insegura entre dominios (permitirse-access-from) ( insecure_cross_domain_policy_access )
• Política insegura entre dominios (alquilar-http-request-headers-from) ( insecure_cross_domain_policy_headers )
• Política insegura de acceso cliente ( insecure_client_access_policy )

• Salida estándar
• Html (zip) ( html ).
• XML ( xml ).
• Texto ( text ).
• JSON ( json )
• Mariscal ( marshal )
• Yaml ( yaml )
• Afr ( afr )
  • El formato predeterminado de informe del marco de Arachni.

Los complementos agregan funcionalidad adicional al sistema de manera modular, de esta manera el núcleo permanece delgado y facilita que cualquiera agregue funcionalidad arbitraria.

• Proxy pasivo ( proxy ): analiza las solicitudes y respuestas entre la aplicación web y el navegador que asisten en auditorías AJAX, inicia sesión y/o restringe el alcance de la auditoría.
• Inicio de sesión basado en formularios ( autologin ).
• Script Basedic Login ( login_script ).
• Atacista de diccionario para HTTP Auth ( http_dicattack ).
• Atacista de diccionario para la autenticación basada en formularios ( form_dicattack ).
• Cookie Collector ( cookie_collector ): realiza un seguimiento de las cookies mientras establece una línea de tiempo de cambios.
• Detector WAF (Firewall de aplicación web) ( waf_detector ): establece una línea de base del comportamiento normal y utiliza el análisis RDIFF para determinar si las entradas maliciosas causan cambios de comportamiento.
• Beepnotify ( beep_notify ) - Beeps cuando termina el escaneo.
• EmailNotify ( email_notify ): envía una notificación (y opcionalmente un informe) a través de SMTP al final del escaneo.
• VectorFeed ( vector_feed ): se lee en datos vectoriales de los que crea elementos para ser auditados. Se puede utilizar para realizar auditorías extremadamente especializadas/estrechas por vector/elemento. Útil para pruebas de unidad o un mil millones de otras cosas.
• Script ( script ): carga y ejecuta un script rubí externo bajo el alcance de un complemento, utilizado para depurar y hackerías generales.
• Encabezados poco comunes ( uncommon_headers ) - registra encabezados poco comunes.
• Content-types ( content_types ): registra los tipos de contenido de las respuestas del servidor que ayudan en la identificación de archivos interesantes (posiblemente filtrados).
• Vector Collector ( vector_collector ): recopila información sobre todos los vectores de entrada vistos que están dentro del alcance de escaneo.
• Collector de encabezados ( headers_collector ): recopila encabezados de respuesta basados ​​en criterios especificados.
• Exec ( exec ): llama a ejecutables externos en diferentes etapas de escaneo.
• Métricas ( metrics ): captura métricas sobre múltiples aspectos del escaneo y la aplicación web.
• Restringir al estado DOM ( restrict_to_dom_state ) - restringe la auditoría al estado DOM de una sola página, basado en un fragmento de URL.
• Webhook Notify ( webhook_notify ): envía una carga útil de Webhook a través de HTTP al final del escaneo.
• Limitador de tasa ( rate_limiter ) - Limita las solicitudes HTTP.
• Volcado de página ( page_dump ) - Vuelve los datos de la página al disco como YAML.

Los complementos predeterminados se ejecutarán para cada escaneo y se colocan en /plugins/defaults/ .

• Autothrottle ( autothrottle ): ajusta dinámicamente el rendimiento HTTP durante el escaneo para obtener la máxima utilización de ancho de banda.
• HealthMap ( healthmap ): genera mapa del sitio que muestra la salud de cada URL rastreada/auditada

Complementos en /plugins/defaults/meta/ realización de análisis en los resultados de escaneo para determinar la confiabilidad o simplemente agregar información de contexto o ideas generales.

• TimingAtacks ( timing_attacks ): proporciona un aviso para los problemas descubiertos por los ataques de cronometraje cuando las páginas auditadas afectadas devolvieron tiempos de respuesta inusualmente altos para empezar. También señala el peligro de ataques de DOS contra páginas que realizan un procesamiento de servicio pesado.
• Discovery ( discovery ): realiza la detección de anomalías en temas registrados por verificaciones de descubrimiento y advierte sobre la posibilidad de falsos positivos cuando corresponda.
• Uniformidad ( uniformity ): informa entradas que son uniformemente vulnerables en una serie de páginas que sugieren la falta de un punto central de desinfección de entrada.

El entrenador es lo que permite a Arachni aprender del escaneo que realiza e incorpora ese conocimiento, sobre la marcha, durante la auditoría.

Los controles tienen la capacidad de forzar individualmente el marco a aprender de las respuestas HTTP que van a inducir.

Sin embargo, esto generalmente no se requiere, ya que Arachni es consciente de qué solicitudes tienen más probabilidades de descubrir nuevos elementos o vectores de ataque y se adaptarán en consecuencia.

Aún así, este puede ser un activo invaluable para las verificaciones de fuzzadores.

Puede ejecutar rake spec para ejecutar todas las especificaciones o puede ejecutarlas selectivamente utilizando lo siguiente:

 rake spec:core            # for the core libraries
rake spec:checks          # for the checks
rake spec:plugins         # for the plugins
rake spec:reports         # for the reports
rake spec:path_extractors # for the path extractors

Tenga en cuenta que las especificaciones básicas requerirán una bestia de una máquina debido a la necesidad de probar las características de la cuadrícula/múltiples instancias del sistema.

Nota : Las especificaciones de verificación tardarán muchas horas en completarse debido a las pruebas de ataque de tiempo.

Envíe errores utilizando problemas de GitHub y obtenga soporte a través del portal de soporte.

(Antes de comenzar cualquier trabajo, lea las instrucciones para trabajar con el código fuente).

Nos complace aceptar la ayuda de otros monkeys de código y estos son los pasos que debe seguir para contribuir con código:

• Bifurca el proyecto.
• Inicie una rama de características basada en la rama experimental ( git checkout -b <feature-name> experimental ).
• Agregue especificaciones para su código.
• Ejecute la suite de especificaciones para asegurarse de no romper nada ( rake spec:core para las libs de núcleo o rake spec para todo).
• Comprometer y presionar sus cambios.
• Emita una solicitud de extracción y espere a que se revise su código.

Licencia de fuente pública de Arachni V1.0 - Consulte el archivo de licencia para obtener más información.