arachni

Arachni sedang menuju keusangan, cobalah penggantinya generasi berikutnya Ecsypno codename scnr!

Arachni adalah kerangka kerja Ruby yang penuh fitur, modular, berkinerja tinggi yang bertujuan untuk membantu penguji penetrasi dan administrator mengevaluasi keamanan aplikasi web.

Ini cerdas, melatih dirinya sendiri dengan memantau dan belajar dari perilaku aplikasi web selama proses pemindaian dan mampu melakukan meta-analisis menggunakan sejumlah faktor untuk menilai dengan benar kepercayaan hasil dan secara cerdas mengidentifikasi (atau menghindari) positif-palsu.

Tidak seperti pemindai lain, ia memperhitungkan sifat dinamis dari aplikasi web, dapat mendeteksi perubahan yang disebabkan saat bepergian melalui jalur kompleksitas siklomatik aplikasi web dan mampu menyesuaikan dirinya sendiri. Dengan cara ini, vektor serangan/input yang seharusnya tidak terdeteksi oleh non-manusia dapat ditangani dengan mulus.

Selain itu, karena lingkungan browser terintegrasi, ia juga dapat mengaudit dan memeriksa kode sisi klien, serta mendukung aplikasi web yang sangat rumit yang memanfaatkan teknologi seperti JavaScript, HTML5, manipulasi DOM dan AJAX.

Akhirnya, cukup fleksibel untuk mencakup banyak kasus penggunaan, mulai dari utilitas pemindai baris perintah sederhana, hingga kisi-kisi pemindai berkinerja tinggi global, hingga perpustakaan Ruby yang memungkinkan untuk audit skrip, ke platform kolaborasi web multi-pengguna multi-scan.

Catatan : Terlepas dari kenyataan bahwa Arachni sebagian besar ditargetkan untuk keamanan aplikasi web, itu dapat dengan mudah digunakan untuk pengikisan tujuan umum, penambangan data, dll. Dengan penambahan komponen khusus.

Check , report , dan pengembang plugin diizinkan untuk dengan mudah dan cepat membuat dan menggunakan komponen mereka dengan jumlah minimum pembatasan yang dikenakan pada mereka, sementara diberikan infrastruktur yang diperlukan untuk mencapai tujuan mereka.

Selain itu, mereka didorong untuk mengambil keuntungan penuh dari bahasa Ruby di bawah kerangka kerja terpadu yang akan meningkatkan produktivitas mereka tanpa menahan mereka atau menyulitkan tugas mereka.

Selain itu, kerangka kerja yang sama dapat digunakan sebagai perpustakaan Ruby lainnya dan mengarah pada pengembangan pemindai baru atau membantu Anda membuat skenario pemindaian/audit yang sangat disesuaikan dan/atau pemindaian skrip.

Meskipun beberapa bagian dari kerangka kerja ini cukup kompleks, Anda tidak akan pernah harus berurusan secara langsung. Dari sudut pandang pengguna atau pengembang komponen semuanya tampak sederhana dan lurus ke depan sambil memberikan daya, kinerja, dan fleksibilitas.

Dari pemindai utilitas baris perintah sederhana hingga antarmuka web dan platform kolaborasi yang intuitif dan ramah pengguna, Arachni mengikuti prinsip paling mengejutkan dan memberi Anda banyak umpan balik dan panduan.

Arachni dirancang untuk secara otomatis mendeteksi masalah keamanan dalam aplikasi web. Yang diharapkan hanyalah URL dari situs web target dan setelah beberapa saat itu akan memberi Anda temuannya.

• Dukungan Cookie-Jar/Cookie-String.
• Dukungan header khusus.
• Dukungan SSL dengan opsi berbutir halus.
• Spoofing agen pengguna.
• Dukungan proxy untuk Socks4, Socks4a, Socks5, HTTP/1.1 dan HTTP/1.0.
• Otentikasi proxy.
• Otentikasi Situs (berbasis SSL, berbasis bentuk, cookie-jar, dasar-digergen, NTLMV1, Kerberos dan lainnya).
• Deteksi log-out otomatis dan login kembali selama pemindaian (ketika login awal dilakukan melalui plugin autologin , login_script atau proxy ).
• Deteksi Halaman 404 Kustom.
• UI Abstraksi:
  • Antarmuka baris perintah.
  • Antarmuka pengguna web.
• Fungsi jeda/resume.
• Dukungan Hibernasi - Menangguhkan dan memulihkan dari disk.
• Permintaan HTTP asinkron kinerja tinggi.
  • Dengan konkurensi yang dapat disesuaikan.
  • Dengan kemampuan untuk mendeteksi kesehatan server secara otomatis dan menyesuaikan konkurensinya secara otomatis.
• Dukungan untuk nilai input default khusus, menggunakan pasangan pola (untuk dicocokkan dengan nama input) dan nilai yang akan digunakan untuk mengisi input yang cocok.

ARACHNI mencakup lingkungan browser yang terintegrasi dan nyata untuk memberikan cakupan yang cukup untuk aplikasi web modern yang memanfaatkan teknologi seperti HTML5, JavaScript, manipulasi DOM, AJAX, dll.

Selain pemantauan lingkungan vanilla DOM dan JavaScript, browser Arachni juga terhubung ke kerangka kerja populer untuk membuat data yang dicatat lebih mudah dicerna:

• JQuery
• AngularJS
• Lebih banyak yang akan datang ...

Intinya, ini mengubah Arachni menjadi debugger DOM dan JavaScript, yang memungkinkannya untuk memantau peristiwa DOM dan data javascript dan arus eksekusi. Akibatnya, sistem tidak hanya dapat memicu dan mengidentifikasi masalah berbasis DOM, tetapi juga akan menyertai mereka dengan banyak informasi mengenai keadaan halaman pada saat itu.

Informasi yang relevan meliputi:

• Halaman dom, sebagai kode html.
  • Dengan daftar transisi DOM yang diperlukan untuk mengembalikan keadaan halaman ke yang pada saat itu dicatat.
• DOM asli (yaitu sebelum tindakan yang menyebabkan halaman dicatat), sebagai kode HTML.
  • Dengan daftar transisi DOM.
• Wastafel aliran data-Setiap wastafel adalah metode JS yang menerima argumen ternoda.
  • Objek induk dari metode ini (Kel.: DOMWindow ).
  • Metode Signature (Kel.: decodeURIComponent() ).
  • Daftar Argumen.
    • Dengan noda teridentifikasi yang terletak secara rekursif di objek yang disertakan.
  • Kode Sumber Metode.
  • JS Stacktrace.
• Eksekusi Aliran Wastafel - Setiap wastafel adalah muatan JS yang berhasil dieksekusi, seperti yang disuntikkan oleh cek keamanan.
  • Termasuk stacktrace JS.
• Javascript Stack-Traces meliputi:
  • Nama metode.
  • Lokasi Metode.
  • Kode Sumber Metode.
  • Daftar Argumen.

Intinya, Anda memiliki akses ke informasi yang kira -kira sama dengan debugger favorit Anda (misalnya, Firebug) akan memberikan, seolah -olah Anda telah menetapkan breakpoint untuk dilakukan pada waktu yang tepat untuk mengidentifikasi suatu masalah.

Peramban-browser adalah apa yang mengoordinasikan analisis sumber daya browser dan memungkinkan sistem untuk melakukan operasi yang biasanya cukup memakan waktu dengan cara berkinerja tinggi.

Opsi konfigurasi meliputi:

• Ukuran kolam yang dapat disesuaikan, yaitu jumlah pekerja browser untuk digunakan.
• Batas waktu untuk setiap pekerjaan.
• Pekerja TTL dihitung dalam pekerjaan - pekerja yang melebihi TTL memiliki proses browser mereka dihidupkan kembali.
• Kemampuan untuk menonaktifkan pemuatan gambar.
• Lebar dan tinggi layar yang dapat disesuaikan.
  • Dapat digunakan untuk menganalisis aplikasi responsif dan seluler.
• Kemampuan untuk menunggu sampai elemen -elemen tertentu muncul di halaman.
• Data penyimpanan lokal yang dapat dikonfigurasi.

Sistem ini dapat memberikan cakupan yang bagus untuk aplikasi web modern karena lingkungan browser terintegrasi. Ini memungkinkannya untuk berinteraksi dengan aplikasi kompleks yang memanfaatkan kode sisi klien (seperti JavaScript) seperti yang dilakukan manusia.

Selain itu, ia juga tahu tentang perubahan status browser mana yang telah diprogram untuk ditangani dan dapat memicu mereka secara program untuk menyediakan cakupan untuk serangkaian lengkap skenario yang mungkin.

Dengan memeriksa semua halaman yang mungkin dan status mereka (saat menggunakan kode sisi klien) Arachni dapat mengekstrak dan mengaudit elemen-elemen berikut dan inputnya:

• Bentuk
  • Bersama dengan yang membutuhkan interaksi melalui browser nyata karena peristiwa DOM.
• Formulir antarmuka pengguna
  • Grup input dan tombol yang bukan milik elemen HTML <form> tetapi malah dikaitkan melalui kode JS.
• Input antarmuka pengguna
  • Elemen Orphan <input> dengan peristiwa DOM terkait.
• Tautan
  • Bersama dengan yang memiliki parameter sisi klien dalam fragmen mereka, yaitu: http://example.com/#/?param=val&param2=val2
  • Dengan dukungan untuk menulis ulang aturan.
• LinkTemplate-memungkinkan untuk ekstraksi input sewenang-wenang dari jalur generik, berdasarkan templat yang disediakan pengguna-berguna ketika aturan penulisan ulang tidak tersedia.
  • Bersama dengan yang memiliki parameter sisi klien dalam fragmen URL mereka, yaitu: http://example.com/#/param/val/param2/val2
• Cookie
  • Juga mendukung cookie bersarang, berisi pasangan nilai kunci di dalam cookie individual.
• Header
• Elemen sisi klien generik yang memiliki peristiwa DOM terkait.
• Parameter Ajax-Request.
• JSON meminta data.
• Data Permintaan XML.

Arachni dirancang agar sesuai dengan alur kerja Anda dan dengan mudah berintegrasi dengan infrastruktur Anda yang ada.

Bergantung pada tingkat kontrol yang Anda butuhkan selama proses, Anda dapat memilih layanan REST atau protokol RPC khusus.

Kedua pendekatan memungkinkan Anda untuk:

• Memantau dan mengelola pemindaian dari jarak jauh.
• Lakukan beberapa pemindaian pada saat yang sama - setiap pemindaian dikotak -kan dari proses OS sendiri untuk memanfaatkan:
  • Arsitektur multi-core/SMP.
  • Penjadwalan/Pembatasan Level OS.
  • Perambatan kegagalan kotak pasir.
• Berkomunikasi melalui saluran yang aman.

• API yang sangat sederhana dan langsung.
• Interoperabilitas yang mudah dengan sistem non-Ruby.
  • Beroperasi melalui http.
  • Menggunakan JSON untuk memformat pesan.
• Pemantauan pemindaian stateful.
  • Sesi unik secara otomatis hanya menerima pembaruan saat polling untuk kemajuan, bukan data lengkap.

• Protokol komunikasi berkinerja tinggi/bandwidth rendah.
  • Serialisasi MessagePack untuk kinerja, efisiensi, dan kemudahan integrasi dengan sistem pihak ke -3.
• Grid:
  • Penyembuhan diri sendiri.
  • Skala ke atas/ke bawah oleh node hot-plugging/hot-unplugging.
    • Dapat meningkatkan tak terhingga dengan menambahkan node untuk meningkatkan kapasitas pemindaian.
  • (Selalu aktif) Load-Balancing-Semua contoh secara otomatis disediakan oleh anggota grid yang paling sedikit.
    • Dengan opsi opsional per scan/override.
  • (Opsional) Mode kinerja tinggi-menggabungkan sumber daya dari beberapa node untuk melakukan pemindaian multi-instance.
    • Diaktifkan secara per-scan.

• Filter untuk halaman yang berlebihan seperti galeri, katalog, dll. Berdasarkan ekspresi dan penghitung reguler.
  • Dapat secara opsional mendeteksi dan mengabaikan halaman yang berlebihan secara otomatis.
• Filter pengecualian URL menggunakan ekspresi reguler.
• Filter pengecualian halaman berdasarkan konten, menggunakan ekspresi reguler.
• Filter inklusi URL menggunakan ekspresi reguler.
• Dapat dipaksa untuk hanya mengikuti jalur HTTPS dan tidak menurunkan peringkat ke HTTP.
• Dapat secara opsional mengikuti subdomain.
• Batas jumlah halaman yang dapat disesuaikan.
• Batas pengalihan yang dapat disesuaikan.
• Batas kedalaman direktori yang dapat disesuaikan.
• Batas kedalaman DOM yang dapat disesuaikan.
• Penyesuaian menggunakan aturan URL-Rewrite.
• Dapat membaca jalur dari beberapa file yang disediakan pengguna (untuk membatasi dan memperluas ruang lingkup).

• Bisa audit:
  • Bentuk
    • Dapat secara otomatis menyegarkan token nonce.
    • Dapat mengirimkannya melalui lingkungan browser terintegrasi.
  • Formulir antarmuka pengguna
    • Grup input dan tombol yang bukan milik elemen HTML <form> tetapi malah dikaitkan melalui kode JS.
  • Input antarmuka pengguna
    • Elemen Orphan <input> dengan peristiwa DOM terkait.
  • Tautan
    • Dapat memuatnya melalui lingkungan browser terintegrasi.
  • LinkTemplate
    • Dapat memuatnya melalui lingkungan browser terintegrasi.
  • Cookie
    • Dapat memuatnya melalui lingkungan browser terintegrasi.
  • Header
  • Elemen DOM sisi klien generik.
  • JSON meminta data.
  • Data Permintaan XML.
• Dapat mengabaikan halaman biner/non-teks.
• Dapat audit elemen menggunakan metode GET dan POST http.
• Dapat menyuntikkan muatan yang dikodekan mentah dan http.
• Dapat mengirimkan semua tautan dan bentuk halaman bersama dengan permutasi cookie untuk memberikan cakupan audit cookie yang luas.
• Dapat mengecualikan vektor input spesifik berdasarkan nama.
• Dapat menyertakan vektor input spesifik dengan nama.

Arachni adalah sistem yang sangat modular, menggunakan beberapa komponen jenis berbeda untuk melakukan tugasnya.

Selain mengaktifkan atau menonaktifkan komponen yang dibundel sehingga dapat menyesuaikan perilaku dan fitur sistem sesuai kebutuhan, fungsionalitas dapat diperpanjang melalui penambahan komponen yang dibuat pengguna yang sesuai dengan hampir setiap kebutuhan.

Untuk memanfaatkan bandwidth yang tersedia secara efisien, Arachni melakukan sidik jari platform yang belum sempurna dan menyesuaikan proses audit ke teknologi yang digunakan sisi server dengan hanya menggunakan muatan yang berlaku.

Saat ini, platform berikut dapat diidentifikasi:

• Sistem Operasi
  • BSD
  • Linux
  • UNIX
  • Windows
  • Solaris
• Server web
  • Apache
  • IIS
  • Nginx
  • Kucing jantan
  • Dermaga
  • Gunicorn
• Bahasa pemrograman
  • Php
  • Asp
  • Aspx
  • Jawa
  • Python
  • Rubi
• Kerangka kerja
  • Rak
  • CakePhp
  • Rails
  • Django
  • ASP.NET MVC
  • JSF
  • Cherrypy
  • Nette
  • Symfony

Pengguna juga memiliki opsi untuk menentukan platform tambahan (seperti server DB) untuk membantu sistem seefisien mungkin. Atau, sidik jari dapat dinonaktifkan sama sekali.

Akhirnya, Arachni akan selalu berbuat salah di sisi kehati -hatian dan mengirim semua muatan yang tersedia ketika gagal mengidentifikasi platform tertentu.

Cek adalah komponen sistem yang melakukan pemeriksaan keamanan dan masalah log.

Pemeriksaan aktif melibatkan aplikasi web melalui inputnya.

• SQL Injection ( sql_injection ) - Deteksi berbasis kesalahan.
  • Peramal
  • Interbase
  • PostgreSQL
  • Mysql
  • Mssql
  • EMC
  • Sqlite
  • Db2
  • Informix
  • Firebird
  • SAP MAX DB
  • Sybase
  • Basis front
  • Ingres
  • Hsqldb
  • Akses MS
• Injeksi SQL buta menggunakan analisis diferensial ( sql_injection_differential ).
• Injeksi SQL buta menggunakan serangan waktu ( sql_injection_timing ).
  • Mysql
  • PostgreSQL
  • Mssql
• Injeksi NoSQL ( no_sql_injection ) - Deteksi kerentanan berbasis kesalahan.
  • Mongodb
• Injeksi noSQL buta menggunakan analisis diferensial ( no_sql_injection_differential ).
• Deteksi CSRF ( csrf ).
• Injeksi Kode ( code_injection ).
  • Php
  • Rubi
  • Python
  • Jawa
  • Asp
• Injeksi kode buta menggunakan serangan waktu ( code_injection_timing ).
  • Php
  • Rubi
  • Python
  • Jawa
  • Asp
• Injeksi LDAP ( ldap_injection ).
• Path Traversal ( path_traversal ).
  • *nix
  • Windows
  • Jawa
• Inklusi file ( file_inclusion ).
  • *nix
  • Windows
  • Jawa
  • Php
  • Perl
• Pemisahan respons ( response_splitting ).
• Injeksi perintah OS ( os_cmd_injection ).
  • *nix
  • *BSD
  • IBM AIX
  • Windows
• Injeksi perintah OS buta menggunakan serangan waktu ( os_cmd_injection_timing ).
  • Linux
  • *BSD
  • Solaris
  • Windows
• Inklusi File Jarak Jauh ( rfi ).
• Redirects Unvalidasi ( unvalidated_redirect ).
• DOM yang tidak divalidasi mengarahkan kembali ( unvalidated_redirect_dom ).
• Injeksi XPath ( xpath_injection ).
  • Umum
  • Php
  • Jawa
  • dotnet
  • libxml2
• XSS ( xss ).
• Path XSS ( xss_path ).
• XSS di Atribut Acara Elemen HTML ( xss_event ).
• XSS dalam tag html ( xss_tag ).
• XSS dalam konteks skrip ( xss_script_context ).
• Dom xss ( xss_dom ).
• DOM XSS Script Context ( xss_dom_script_context ).
• Pengungkapan kode sumber ( source_code_disclosure )
• XML Entitas Eksternal ( xxe ).
  • Linux
  • *BSD
  • Solaris
  • Windows

Cek pasif mencari keberadaan file, folder, dan tanda tangan.

• Metode http yang diizinkan ( allowed_methods ).
• File cadangan ( backup_files ).
• Direktori cadangan ( backup_directories )
• Antarmuka Administrasi Umum ( common_admin_interfaces ).
• Direktori Umum ( common_directories ).
• File umum ( common_files ).
• Http put ( http_put ).
• Tidak mencukupi perlindungan lapisan transport untuk formulir kata sandi ( unencrypted_password_form ).
• Deteksi WebDAV ( webdav ).
• HTTP Trace Detection ( xst ).
• Pengungkapan Nomor Kartu Kredit ( credit_card ).
• Pengungkapan Pengguna CVS/SVN ( cvs_svn_users ).
• Pengungkapan Alamat IP Pribadi ( private_ip ).
• Pintu belakang umum ( backdoors ).
• .htaccess Limit salah konfigurasi ( htaccess_limit ).
• Respons yang menarik ( interesting_responses ).
• Html objek grepper ( html_objects ).
• Pengungkapan Alamat Email ( emails ).
• Pengungkapan Nomor Jaminan Sosial AS ( ssn ).
• Daftar Direktori Kuat ( directory_listing ).
• Sumber Daya Mixed/Scripting ( mixed_resource ).
• Cookie Insecure ( insecure_cookies ).
• Cookie httponly ( http_only_cookies ).
• Auto-complete untuk bidang formulir kata sandi ( password_autocomplete ).
• Bypass Pembatasan Akses Spoof Origin ( origin_spoof_access_restriction_bypass )
• Unggahan berbasis formulir ( form_upload )
• localstart.asp ( localstart_asp )
• Cookie Set untuk Domain Induk ( cookie_set_for_parent_domain )
• HEADER Strict-Transport-Security DENGAN SITUS HTTPS ( hsts ).
• Header X-Frame-Options yang hilang ( x_frame_options ).
• Kebijakan CORS Insecure ( insecure_cors_policy ).
• Kebijakan domain lintas yang tidak aman (Access-Access-From) ( insecure_cross_domain_policy_access )
• Kebijakan Cross-Domain yang Tidak Dihitung (Izinkan-HTTP-Request-Headers-From) ( insecure_cross_domain_policy_headers )
• Kebijakan Akses Klien yang tidak aman ( insecure_client_access_policy )

• Output standar
• Html (zip) ( html ).
• Xml ( xml ).
• Teks ( text ).
• JSON ( json )
• Marshal ( marshal )
• YAML ( yaml )
• AFR ( afr )
  • Format Laporan Kerangka Kerja Arachni default.

Plugin menambah fungsionalitas ekstra ke sistem dengan cara modular, dengan cara ini inti tetap ramping dan memudahkan siapa pun untuk menambahkan fungsionalitas yang sewenang -wenang.

• PASSIVE PROXY ( proxy )-Menganalisis permintaan dan tanggapan antara aplikasi web dan browser yang membantu dalam audit AJAX, logging-in dan/atau membatasi ruang lingkup audit.
• Login Berbasis Bentuk ( autologin ).
• Login Berbasis Skrip ( login_script ).
• Penyerang Kamus untuk HTTP Auth ( http_dicattack ).
• Penyerang kamus untuk otentikasi berbasis formulir ( form_dicattack ).
• Cookie Collector ( cookie_collector ) - Melacak cookie sambil menetapkan garis waktu perubahan.
• Detektor WAF (Web Application Firewall) ( waf_detector ) - menetapkan garis dasar perilaku normal dan menggunakan analisis RDIFF untuk menentukan apakah input berbahaya menyebabkan perubahan perilaku.
• Beepnotify ( beep_notify ) - Bip saat pemindaian selesai.
• EmailNotify ( email_notify ) - Mengirim pemberitahuan (dan secara opsional laporan) melalui SMTP di akhir pemindaian.
• VectorFeed ( vector_feed ) - Dibaca dalam data vektor dari mana ia membuat elemen untuk diaudit. Dapat digunakan untuk melakukan audit yang sangat khusus/sempit berdasarkan per vektor/elemen. Berguna untuk pengujian unit atau trilyun hal lainnya.
• Script ( script ) - Memuat dan menjalankan skrip ruby ​​eksternal di bawah ruang lingkup plugin, yang digunakan untuk debugging dan peretasan umum.
• HEADER UNCOMMON ( uncommon_headers ) - Log header yang tidak umum.
• Konten-Types ( content_types )-Log jenis konten dari respons server yang membantu dalam identifikasi file yang menarik (mungkin bocor).
• Vector Collector ( vector_collector ) - Mengumpulkan informasi tentang semua vektor input yang terlihat yang berada dalam ruang lingkup pemindaian.
• HEADERS COLLECTOR ( headers_collector ) - Mengumpulkan header respons berdasarkan kriteria yang ditentukan.
• EXEC ( exec ) - Memanggil Eksekusi Eksternal pada tahap pemindaian yang berbeda.
• Metrik ( metrics ) - Menangkap metrik tentang beberapa aspek pemindaian dan aplikasi web.
• Batasi ke status DOM ( restrict_to_dom_state ) - Membatasi audit ke status DOM satu halaman, berdasarkan fragmen URL.
• WebHook Notify ( webhook_notify ) - Mengirim muatan webhook melalui http di akhir pemindaian.
• LIMITER RATE ( rate_limiter ) - Batas Nilai Permintaan HTTP.
• Halaman dump ( page_dump ) - Dumps Page Data ke Disk sebagai YAML.

Plugin default akan berjalan untuk setiap pemindaian dan ditempatkan di bawah /plugins/defaults/ .

• AUTOTHROTTLE ( autothrottle ) - Secara dinamis menyesuaikan throughput HTTP selama pemindaian untuk pemanfaatan bandwidth maksimum.
• HealthMap ( healthmap ) - Menghasilkan Sitemap yang menunjukkan kesehatan setiap URL merangkak/diaudit

Plugin di bawah /plugins/defaults/meta/ melakukan analisis pada hasil pemindaian untuk menentukan kepercayaan atau hanya menambahkan informasi konteks atau wawasan umum.

• TimingAttacks ( timing_attacks ) - memberikan pemberitahuan untuk masalah yang ditemukan oleh serangan waktu ketika halaman yang diaudit yang terkena dikembalikan waktu respons yang luar biasa tinggi untuk memulai. Ini juga menunjukkan bahaya serangan DOS terhadap halaman yang melakukan pemrosesan tugas berat.
• Discovery ( discovery ) - Melakukan deteksi anomali pada masalah yang dicatat oleh pemeriksaan penemuan dan memperingatkan kemungkinan positif palsu jika berlaku.
• Keseragaman ( uniformity ) - melaporkan input yang rentan secara seragam di sejumlah halaman yang mengisyaratkan kurangnya titik sentral sanitasi input.

Pelatih adalah apa yang memungkinkan Arachni untuk belajar dari pemindaian yang dilakukan dan menggabungkan pengetahuan itu, dengan cepat, selama durasi audit.

Cek memiliki kemampuan untuk memaksa kerangka kerja secara individual untuk belajar dari respons HTTP yang akan mereka ajukan.

Namun, ini biasanya tidak diperlukan karena Arachni mengetahui permintaan mana yang lebih cenderung mengungkap elemen baru atau menyerang vektor dan akan menyesuaikan dirinya sendiri.

Namun, ini bisa menjadi aset yang tak ternilai untuk cek fuzzer.

Anda dapat menjalankan rake spec untuk menjalankan semua spesifikasi atau Anda dapat menjalankannya secara selektif menggunakan yang berikut:

 rake spec:core            # for the core libraries
rake spec:checks          # for the checks
rake spec:plugins         # for the plugins
rake spec:reports         # for the reports
rake spec:path_extractors # for the path extractors

Harap diperingatkan , spesifikasi inti akan membutuhkan binatang buas mesin karena kebutuhan untuk menguji fitur kisi/multi-instansi dari sistem.

Catatan : Spesifikasi cek akan memakan waktu berjam-jam untuk diselesaikan karena tes serangan waktu.

Kirim bug menggunakan masalah github dan dapatkan dukungan melalui portal dukungan.

(Sebelum memulai pekerjaan apa pun, silakan baca instruksi untuk bekerja dengan kode sumber.)

Kami senang menerima bantuan dari sesama kode-monkeys dan ini adalah langkah-langkah yang perlu Anda ikuti untuk menyumbangkan kode:

• Garpu proyek.
• Mulailah cabang fitur berdasarkan cabang eksperimental ( git checkout -b <feature-name> experimental ).
• Tambahkan spesifikasi untuk kode Anda.
• Jalankan Spec Suite untuk memastikan Anda tidak merusak apa pun ( rake spec:core untuk Core Libs atau rake spec untuk semuanya).
• Berkomitmen dan dorong perubahan Anda.
• Keluarkan permintaan tarik dan tunggu kode Anda ditinjau.

Lisensi Sumber Publik Arachni v1.0 - Silakan lihat file lisensi untuk informasi lebih lanjut.