arachni

Arachni se dirige vers l'obsolescence, essayez son successeur de nouvelle génération ECSYPNO Codename SCNR!

ARACHNI est un cadre Ruby plein de fonctionnalités, modulaire et haute performance visant à aider les testeurs et les administrateurs de pénétration d'évaluer la sécurité des applications Web.

Il est intelligent, il se forme en surveillant et en apprenant le comportement de l'application Web pendant le processus de scan et est en mesure d'effectuer une méta-analyse en utilisant un certain nombre de facteurs afin d'évaluer correctement la fiabilité des résultats et d'identifier intelligemment (ou d'éviter) des faux positifs.

Contrairement à d'autres scanners, il prend en compte la nature dynamique des applications Web, peut détecter les modifications provoquées lors du voyage à travers les chemins de complexité cyclomatique d'une application Web et est capable de s'adapter en conséquence. De cette façon, les vecteurs d'attaque / d'entrée qui seraient autrement indétectables par les non-humains peuvent être gérés de manière transparente.

De plus, en raison de son environnement de navigateur intégré, il peut également auditer et inspecter le code côté client, ainsi que les applications Web très compliquées qui utilisent fortement des technologies telles que JavaScript, HTML5, Dom Manipulation et Ajax.

Enfin, il est suffisamment polyvalent pour couvrir de nombreux cas d'utilisation, allant d'un utilitaire de scanner de ligne de commande simple, à une grille mondiale de scanners de haute performance, à une bibliothèque Ruby permettant des audits scénarisés, à une plate-forme de collaboration Web multi-utilisateurs multi-utilisateurs.

Remarque : Malgré le fait qu'Arachni est principalement destiné à la sécurité des applications Web, il peut facilement être utilisé à des fins générales de grattage, d'exploration de données, etc. avec l'ajout de composants personnalisés.

Les développeurs Check , report et plugin sont autorisés à créer et à déployer facilement et à déployer facilement leurs composants avec le montant minimum de restrictions qui leur sont imposées, tout en étant pourvus l'infrastructure nécessaire pour atteindre leurs objectifs.

En outre, ils sont encouragés à tirer pleinement parti de la langue rubis dans un cadre unifié qui augmentera leur productivité sans les étouffer ou compliquer leurs tâches.

De plus, ce même cadre peut être utilisé comme n'importe quelle autre bibliothèque Ruby et conduire au développement de nouveaux scanners ou vous aider à créer des scénarios d'analyse / d'audit hautement personnalisés et / ou des analyses scriptées.

Bien que certaines parties du cadre soient assez complexes, vous n'aurez jamais à les traiter directement. Du point de vue d'un utilisateur ou d'un développeur de composants, tout semble simple et simple tout en fournissant de la puissance, des performances et de la flexibilité.

Du simple scanner d'utilitaire de ligne de commande à l'interface Web et à la plate-forme de collaboration intuitive et conviviale, Arachni suit le principe de la moindre surprise et vous fournit de nombreux commentaires et conseils.

Arachni est conçu pour détecter automatiquement les problèmes de sécurité dans les applications Web. Tout ce qu'il attend, c'est l'URL du site Web cible et après un certain temps, il vous présentera ses résultats.

• Cookie-Jar / Cookie-String Support.
• Prise en charge de l'en-tête personnalisée.
• Prise en charge SSL avec des options à grain fin.
• Usurpation d'agent utilisateur.
• Prise en charge proxy pour SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 et HTTP / 1.0.
• Authentification proxy.
• Authentification du site (basée sur SSL, basée sur des formulaires, cookie-jar, basique-digest, ntlmv1, kerberos et autres).
• Détection de déconnexion automatique et ré-login pendant le scan (lorsque la connexion initiale a été effectuée via les plugins autologin , login_script ou proxy ).
• Détection personnalisée de 404 pages.
• Abstraction d'interface utilisateur:
  • Interface de ligne de commande.
  • Interface utilisateur Web.
• Fonctionnalité pause / CV.
• Support d'hibernation - suspendre et restaurer à partir du disque.
• Demandes HTTP asynchrones haute performance.
  • Avec concurrence réglable.
  • Avec la possibilité de détecter automatiquement la santé du serveur et d'ajuster automatiquement sa concurrence.
• Prise en charge des valeurs d'entrée par défaut personnalisées, en utilisant des paires de modèles (à correspondre aux noms d'entrée) et des valeurs à utiliser pour remplir les entrées correspondantes.

Arachni comprend un environnement de navigateur réel intégré afin de fournir une couverture suffisante aux applications Web modernes qui utilisent des technologies telles que HTML5, JavaScript, Dom Manipulation, Ajax, etc.

En plus de la surveillance des environnements Vanilla Dom et JavaScript, les navigateurs d'Arachni s'accrochent également aux cadres populaires pour faciliter les données enregistrées:

• Jquery
• Angularjs
• Plus à venir ...

En substance, cela transforme Arachni en un débogueur DOM et JavaScript, lui permettant de surveiller les événements DOM et les données JavaScript et les flux d'exécution. En conséquence, non seulement le système peut déclencher et identifier les problèmes basés sur DOM, mais il les accompagnera avec beaucoup d'informations concernant l'état de la page à l'époque.

Les informations pertinentes comprennent:

• Page Dom, comme code HTML.
  • Avec une liste des transitions DOM requises pour restaurer l'état de la page à celle à l'époque où il a été enregistré.
• DOM original (c'est-à-dire avant l'action qui a provoqué la connexion de la page), comme code HTML.
  • Avec une liste de transitions DOM.
• Évier de flux de données - chaque évier est une méthode JS qui a reçu un argument contaminé.
  • Objet parent de la méthode (Ex.: DOMWindow ).
  • Méthode Signature (Ex.: decodeURIComponent() ).
  • Liste des arguments.
    • Avec la souillée identifiée située récursivement dans les objets inclus.
  • Code source de la méthode.
  • JS StackTrace.
• Évier de flux d'exécution - Chaque puits est une charge utile JS exécutée avec succès, comme injecté par les chèques de sécurité.
  • Comprend un JS StackTrace.
• Les traces de pile JavaScript comprennent:
  • Noms de méthode.
  • Emplacements de la méthode.
  • CODES SOURCES DE MÉTHODE.
  • Listes d'arguments.

En substance, vous avez accès à peu près aux mêmes informations que votre débogueur préféré (par exemple, Firebug) fournirait, comme si vous aviez mis un point d'arrêt au bon moment pour identifier un problème.

Le navigateur-cluster est ce qui coordonne l'analyse du navigateur des ressources et permet au système d'effectuer des opérations qui prendraient normalement beaucoup de temps de manière haute.

Les options de configuration incluent:

• Taille de pool réglable, c'est-à-dire la quantité de travailleurs du navigateur à utiliser.
• Délai d'expiration pour chaque emploi.
• Les travailleurs TTL comptés dans les emplois - les travailleurs qui dépassent le TTL ont leur processus de navigateur.
• Capacité à désactiver le chargement des images.
• Largeur et hauteur de l'écran réglables.
  • Peut être utilisé pour analyser les applications réactives et mobiles.
• Capacité d'attendre que certains éléments apparaissent dans la page.
• Données de stockage locales configurables.

Le système peut fournir une excellente couverture aux applications Web modernes en raison de son environnement de navigateur intégré. Cela lui permet d'interagir avec des applications complexes qui utilisent intensive le code côté client (comme JavaScript) comme le feraient un humain.

En plus de cela, il sait également quels modifications de l'état du navigateur, l'application a été programmée pour gérer et est en mesure de les déclencher de manière programmée afin de fournir une couverture pour un ensemble complet de scénarios possibles.

En inspectant toutes les pages possibles et leurs états (lors de l'utilisation du code côté client), Arachni est capable d'extraire et d'auditer les éléments suivants et leurs entrées:

• Formes
  • Ainsi que ceux qui nécessitent une interaction via un véritable navigateur en raison des événements DOM.
• Formulaires d'interface utilisateur
  • Les groupes d'entrée et de bouton qui n'appartiennent pas à un élément HTML <form> mais sont plutôt associés via le code JS.
• Entrées d'interface utilisateur
  • Éléments orphelins <input> avec des événements DOM associés.
• Links
  • Ainsi que ceux qui ont des paramètres côté client dans leur fragment, c'est-à-dire: http://example.com/#/?param=val&param2=val2
  • Avec le soutien des règles de réécriture.
• LinkTemplates - permettant l'extraction des entrées arbitraires des chemins génériques, en fonction des modèles fournis par l'utilisateur - utile lorsque les règles de réécriture ne sont pas disponibles.
  • Ainsi que ceux qui ont des paramètres côté client dans leurs fragments d'URL, c'est-à-dire: http://example.com/#/param/val/param2/val2
• Cookies
  • Soutient également les cookies imbriqués, contenant des paires de valeurs clés à l'intérieur des cookies individuels.
• Têtes
• Éléments génériques côté client qui ont associé des événements DOM.
• Paramètres Ajax-Request.
• JSON Demande les données.
• Données de demande XML.

Arachni est conçu pour s'adapter à votre flux de travail et s'intégrer facilement à votre infrastructure existante.

Selon le niveau de contrôle dont vous avez besoin au cours du processus, vous pouvez choisir le service de repos ou le protocole RPC personnalisé.

Les deux approches vous permettent de:

• Surveiller et gérer à distance les scannes.
• Effectuer plusieurs scans en même temps - chaque scan est compartimentée à son propre processus de système d'exploitation pour profiter de:
  • Architectures multicœurs / SMP.
  • Planification / restrictions au niveau OS.
  • Propagation de défaillance sableuse.
• Communiquez sur un canal sécurisé.

• API très simple et simple.
• Interopérabilité facile avec les systèmes non routiers.
  • Fonctionne sur HTTP.
  • Utilise JSON pour formater les messages.
• Surveillance de scan avec état.
  • Les séances uniques ne reçoivent automatiquement des mises à jour que lors du sondage pour les progrès, plutôt que des données complètes.

• Protocole de communication à haute performance / faible bande passante.
  • Sérialisation MessagePack pour les performances, l'efficacité et la facilité d'intégration avec les systèmes tiers.
• Grille:
  • Auto-guérison.
  • Évoluer / baisser par les nœuds hot-bourg / hot-unbilgging.
    • Peut évoluer infiniment en ajoutant des nœuds pour augmenter la capacité de balayage.
  • (Toujours-on) Balançant de charge - toutes les instances sont automatiquement fournies par le membre de la grille le moins chargé.
    • Avec opt-out / remplacement en option.
  • (Facultatif) Mode haute performance - combine les ressources de plusieurs nœuds pour effectuer des analyses multi-instances.
    • Activé par balle.

• Filtres pour des pages redondantes comme les galeries, les catalogues, etc. sur la base d'expressions et de compteurs réguliers.
  • Peut éventuellement détecter et ignorer automatiquement les pages redondantes.
• Filtres d'exclusion d'URL utilisant des expressions régulières.
• Filtres d'exclusion de page basés sur le contenu, en utilisant des expressions régulières.
• Filtres d'inclusion d'URL utilisant des expressions régulières.
• Peut être obligé de suivre uniquement les chemins HTTPS et de ne pas tomber à HTTP.
• Peut éventuellement suivre les sous-domaines.
• Limite de nombre de pages réglable.
• Limite de redirection réglable.
• Limite de profondeur du répertoire réglable.
• Limite de profondeur DOM réglable.
• Réglage à l'aide des règles de rédaction URL.
• Peut lire les chemins de plusieurs fichiers fournis par l'utilisateur (pour restreindre et étendre la portée).

• Peut auditer:
  • Formes
    • Peut rafraîchir automatiquement les jetons nonce.
    • Peut les soumettre via l'environnement du navigateur intégré.
  • Formulaires d'interface utilisateur
    • Les groupes d'entrée et de bouton qui n'appartiennent pas à un élément HTML <form> mais sont plutôt associés via le code JS.
  • Entrées d'interface utilisateur
    • Éléments orphelins <input> avec des événements DOM associés.
  • Links
    • Peut les charger via l'environnement du navigateur intégré.
  • LinkTemplates
    • Peut les charger via l'environnement du navigateur intégré.
  • Cookies
    • Peut les charger via l'environnement du navigateur intégré.
  • Têtes
  • Éléments DOM génériques côté client.
  • JSON Demande les données.
  • Données de demande XML.
• Peut ignorer les pages binaires / non textes.
• Peut auditer des éléments en utilisant à la fois des méthodes GET et POST HTTP.
• Peut injecter à la fois les charges utiles codées RAW et HTTP.
• Peut soumettre tous les liens et les formes de la page ainsi que les permutations de cookies pour fournir une couverture approfondie-biscuits.
• Peut exclure des vecteurs d'entrée spécifiques par nom.
• Peut inclure des vecteurs d'entrée spécifiques par leur nom.

Arachni est un système hautement modulaire, utilisant plusieurs composants de types distincts pour exercer ses fonctions.

En plus d'activer ou de désactiver les composants groupés afin d'ajuster le comportement et les fonctionnalités du système selon les besoins, les fonctionnalités peuvent être étendues via l'ajout de composants créés par l'utilisateur pour répondre à presque tous les besoins.

Afin d'utiliser efficacement la bande passante disponible, ARACHNI effectue des empreintes digitales de la plate-forme rudimentaire et adapte le processus d'audit aux technologies déployées côté serveur en utilisant uniquement des charges utiles applicables.

Actuellement, les plateformes suivantes peuvent être identifiées:

• Systèmes d'exploitation
  • BSD
  • Linux
  • Unix
  • Fenêtre
  • Solaris
• Serveurs Web
  • Apache
  • IIS
  • Nginx
  • Matou
  • Jetée
  • Gunicorn
• Langues de programmation
  • Php
  • ASPIC
  • Aspx
  • Java
  • Python
  • Rubis
• Frameworks
  • Étagère
  • Gâteau
  • Rails
  • Django
  • ASP.NET MVC
  • JSF
  • Cerisier
  • Nette
  • Syfony

L'utilisateur a également la possibilité de spécifier des plates-formes supplémentaires (comme un serveur DB) afin d'aider le système à être aussi efficace que possible. Alternativement, les empreintes digitales peuvent être complètement désactivées.

Enfin, Arachni se trompera toujours du côté de la prudence et envoie toutes les charges utiles disponibles lorsqu'elle ne parviendra pas à identifier des plateformes spécifiques.

Les vérifications sont des composants système qui effectuent des contrôles de sécurité et des problèmes de journal.

Les vérifications actives engagent l'application Web via ses entrées.

• Injection SQL ( sql_injection ) - Détection basée sur l'erreur.
  • Oracle
  • Interbase
  • Postgresql
  • Mysql
  • MSSQL
  • EMC
  • Sqlite
  • Db2
  • Informix
  • Oiseau de feu
  • Sap max db
  • Sybase
  • Base avant
  • Ingres
  • HSQLDB
  • Accès MS
• Injection de SQL aveugle en utilisant l'analyse différentielle ( sql_injection_differential ).
• Injection de SQL aveugle à l'aide d'attaques de synchronisation ( sql_injection_timing ).
  • Mysql
  • Postgresql
  • MSSQL
• Injection NoSQL ( no_sql_injection ) - Détection de vulnérabilité basée sur l'erreur.
  • Mongodb
• Injection de no-nosql aveugle en utilisant l'analyse différentielle ( no_sql_injection_differential ).
• Détection du CSRF ( csrf ).
• Injection de code ( code_injection ).
  • Php
  • Rubis
  • Python
  • Java
  • ASPIC
• Injection de code aveugle à l'aide d'attaques de synchronisation ( code_injection_timing ).
  • Php
  • Rubis
  • Python
  • Java
  • ASPIC
• Injection LDAP ( ldap_injection ).
• PATH Traversal ( path_traversal ).
  • *rien
  • Fenêtre
  • Java
• Inclusion de fichiers ( file_inclusion ).
  • *rien
  • Fenêtre
  • Java
  • Php
  • Perler
• Réponse du fractionnement ( response_splitting ).
• Injection de commande OS ( os_cmd_injection ).
  • *rien
  • * BSD
  • IBM AIX
  • Fenêtre
• Injection de commande Blind OS à l'aide d'attaques de synchronisation ( os_cmd_injection_timing ).
  • Linux
  • * BSD
  • Solaris
  • Fenêtre
• Inclusion de fichier distant ( rfi ).
• Redirection non validée ( unvalidated_redirect ).
• Redirection DOM non validée ( unvalidated_redirect_dom ).
• Xpath injection ( xpath_injection ).
  • Générique
  • Php
  • Java
  • dotnet
  • libxml2
• XSS ( xss ).
• PATH XSS ( xss_path ).
• XSS dans les attributs d'événements des éléments HTML ( xss_event ).
• XSS dans des balises HTML ( xss_tag ).
• XSS dans le contexte du script ( xss_script_context ).
• DOM XSS ( xss_dom ).
• Contexte de script DOM XSS ( xss_dom_script_context ).
• Divulgation du code source ( source_code_disclosure )
• Entité externe XML ( xxe ).
  • Linux
  • * BSD
  • Solaris
  • Fenêtre

Les vérifications passives recherchent l'existence de fichiers, de dossiers et de signatures.

• Méthodes HTTP autorisées ( allowed_methods ).
• Fichiers de sauvegarde ( backup_files ).
• Répertoires de sauvegarde ( backup_directories )
• Interfaces d'administration communes ( common_admin_interfaces ).
• Répertoires communs ( common_directories ).
• Fichiers communs ( common_files ).
• Http put ( http_put ).
• Protection de la couche de transport insuffisante pour les formulaires de mot de passe ( unencrypted_password_form ).
• Détection WebDAV ( webdav ).
• HTTP Trace Detection ( xst ).
• Divulgation du numéro de carte de crédit ( credit_card ).
• Cvs / SVN User Disclosure ( cvs_svn_users ).
• Divulgation d'adresse IP privée ( private_ip ).
• BATTES DES BATUIES ( backdoors PLUS).
• .htaccess limite la mauvaise configuration ( htaccess_limit ).
• Réponses intéressantes ( interesting_responses ).
• Objet HTML Grepper ( html_objects ).
• Courriel de divulgation d'adresse e-mail ( emails ).
• Numéro de sécurité sociale américaine Divulgation ( ssn ).
• Liste de répertoire énergique ( directory_listing ).
• Ressource / script mixte ( mixed_resource ).
• Cookies insécurisés ( insecure_cookies ).
• Httponly Cookies ( http_only_cookies ).
• Complète automatique pour les champs de formulaire de mot de passe ( password_autocomplete ).
• Origin Spoof Access Restriction Bypass ( origin_spoof_access_restriction_bypass )
• Téléchargement basé sur le formulaire ( form_upload )
• localstart.asp ( localstart_asp )
• Ensemble de cookie pour le domaine parent ( cookie_set_for_parent_domain )
• Les en-têtes Strict-Transport-Security manquants pour les sites HTTPS ( hsts ).
• Les en-têtes X-Frame-Options manquantes ( x_frame_options ).
• Politique CORS INSECURE ( insecure_cors_policy ).
• Politique interdomaine en insécurité (ACCESSION-ACCESSE-FROM) ( insecure_cross_domain_policy_access )
• Politique interdomaine en insécurité (perte-http-request-headers-from) ( insecure_cross_domain_policy_headers )
• Politique d'accès client en insécurité ( insecure_client_access_policy )

• Sortie standard
• Html (zip) ( html ).
• XML ( xml ).
• Texte ( text ).
• JSON ( json )
• Maréchal ( marshal )
• Yaml ( yaml )
• AFR ( afr )
  • Le format de rapport du cadre Arachni par défaut.

Les plugins ajoutent des fonctionnalités supplémentaires au système de manière modulaire, de cette façon, le noyau reste maigre et facilite la tâche de quiconque d'ajouter des fonctionnalités arbitraires.

• Proxy passif ( proxy ) - Analyse les demandes et les réponses entre l'application Web et le navigateur aidant aux audits AJAX, enregistrez et / ou restreignant la portée de l'audit.
• Connexion basée sur la forme ( autologin ).
• Connexion basée sur le script ( login_script ).
• Attaquant de dictionnaire pour HTTP Auth ( http_dicattack ).
• Attaquant de dictionnaire pour l'authentification basée sur des formulaires ( form_dicattack ).
• Cookie Collector ( cookie_collector ) - garde une trace des cookies tout en établissant un calendrier de changements.
• Le détecteur de pare-feu WAF (application Web) ( waf_detector ) - établit une base de comportement normal et utilise l'analyse RDIFF pour déterminer si les entrées malveillantes provoquent des changements comportementaux.
• BEEPNOTIFY ( beep_notify ) - bip à la fin du scan.
• EmailNotify ( email_notify ) - envoie une notification (et éventuellement un rapport) sur SMTP à la fin de l'analyse.
• VectorFeed ( vector_feed ) - se lit dans les données vectorielles à partir desquelles il crée des éléments à auditer. Peut être utilisé pour effectuer des audits extrêmement spécialisés / étroits par vecteur / élément. Utile pour les tests unitaires ou un million d'autres choses.
• Script ( script ) - Charge et exécute un script rubis externe sous la portée d'un plugin, utilisé pour le débogage et le piratage général.
• En-têtes inhabituelles ( uncommon_headers ) - Journache des en-têtes peu communs.
• Content-Types ( content_types ) - Journache des types de contenu des réponses du serveur aidant dans l'identification de fichiers intéressants (éventuellement divulgués).
• Vector Collector ( vector_collector ) - collecte des informations sur tous les vecteurs d'entrée vus qui se trouvent dans la portée de scan.
• Collector d'en-têtes ( headers_collector ) - collecte des en-têtes de réponse en fonction des critères spécifiés.
• EXEC ( exec ) - appelle des exécutables externes à différentes étapes de numérisation.
• Métriques ( metrics ) - Capture des mesures sur plusieurs aspects de l'analyse et de l'application Web.
• Restreindre à l'état de Dom ( restrict_to_dom_state ) - restreint l'audit à l'état DOM d'une seule page, sur la base d'un fragment d'URL.
• WebHook Notify ( webhook_notify ) - envoie une charge utile WebHook sur HTTP à la fin de l'analyse.
• Limiteur de taux ( rate_limiter ) - limites de taux HTTP.
• Page Dump ( page_dump ) - vide les données de la page sur le disque en tant que YAML.

Les plugins par défaut s'exécuteront pour chaque analyse et sont placés sous /plugins/defaults/ .

• Autothrottle ( autothrottle ) - Ajuste dynamiquement le débit HTTP pendant la balayage pour l'utilisation maximale de la bande passante.
• HealthMap ( healthmap ) - Génère le site de site montrant la santé de chaque URL rampée / vérifiée

Plugins Under /plugins/defaults/meta/ Perform Analyse sur les résultats de la numérisation pour déterminer la fiabilité ou simplement ajouter des informations de contexte ou des informations générales.

• TimingAttacks ( timing_attacks ) - fournit un avis pour les problèmes découverts par les attaques de timing lorsque les pages auditées affectées ont renvoyé des temps de réponse inhabituellement élevés pour commencer. Il souligne également le danger des attaques DOS contre les pages qui effectuent un traitement lourd.
• Discovery ( discovery ) - Effectue une détection d'anomalies sur les problèmes enregistrés par des vérifications de découverte et avertit la possibilité de faux positifs, le cas échéant.
• Uniformité ( uniformity ) - rapporte des entrées uniformément vulnérables sur un certain nombre de pages faisant allusion à l'absence d'un point central de désinfection des entrées.

L'entraîneur est ce qui permet à Arachni d'apprendre du scan qu'elle effectue et d'incorporer ces connaissances, à la volée, pendant la durée de l'audit.

Les chèques ont la possibilité de forcer individuellement le cadre à apprendre des réponses HTTP qu'ils vont induire.

Cependant, cela n'est généralement pas requis car Arachni sait quelles demandes sont plus susceptibles de découvrir de nouveaux éléments ou d'attaquer des vecteurs et s'adapteront en conséquence.

Pourtant, cela peut être un atout inestimable pour les chèques Fuzzer.

Vous pouvez exécuter rake spec pour exécuter toutes les spécifications ou les exécuter sélectivement en utilisant les éléments suivants:

 rake spec:core            # for the core libraries
rake spec:checks          # for the checks
rake spec:plugins         # for the plugins
rake spec:reports         # for the reports
rake spec:path_extractors # for the path extractors

Veuillez être averti , les spécifications de base nécessiteront une bête d'une machine en raison de la nécessité de tester les fonctionnalités de grille / multi-instances du système.

Remarque : Les spécifications de vérification prendront plusieurs heures en raison des tests d'attaque de synchronisation.

Soumettez des bogues à l'aide de problèmes GitHub et obtenez l'assistance via le portail d'assistance.

(Avant de commencer tout travail, veuillez lire les instructions pour travailler avec le code source.)

Nous sommes heureux d'accepter l'aide de collègues-mondes de code et ce sont les étapes que vous devez suivre afin de contribuer au code:

• Fourk le projet.
• Démarrez une branche de fonctionnalité basée sur la branche expérimentale ( git checkout -b <feature-name> experimental ).
• Ajoutez des spécifications pour votre code.
• Exécutez la suite Spec pour vous assurer que vous n'avez rien cassé ( rake spec:core for the Core Libs ou rake spec pour tout).
• Engager et pousser vos modifications.
• Émettez une demande de traction et attendez que votre code soit examiné.

Arachni Public Source Licence V1.0 - Veuillez consulter le fichier de licence pour plus d'informations.