arachni

Arachni는 노후화로 향하고 있으며 차세대 후속 업체 ECSYPNO Codename SCNR을 시험해보십시오!

Arachni는 침투 테스터와 관리자가 웹 응용 프로그램의 보안을 평가할 수 있도록 돕는 기능이 풍부하고 모듈 식 고성능 루비 프레임 워크입니다.

스캔 프로세스 중에 웹 응용 프로그램의 동작을 모니터링하고 학습하여 스캔하고 학습하고 결과의 신뢰성을 올바르게 평가하고 거짓 양성을 식별 (또는 피)하기 위해 여러 가지 요소를 사용하여 메타 분석을 수행 할 수 있습니다.

다른 스캐너와 달리 웹 애플리케이션의 동적 특성을 고려하고 웹 응용 프로그램의 주기적 복잡성의 경로를 여행하는 동안 발생하는 변경 사항을 감지 할 수 있으며 그에 따라 스스로 조정할 수 있습니다. 이런 식으로, 비인간이 감지 할 수없는 공격/입력 벡터는 원활하게 처리 될 수 있습니다.

또한 통합 브라우저 환경으로 인해 클라이언트 측 코드를 감사하고 검사 할 수있을뿐만 아니라 JavaScript, HTML5, DOM 조작 및 AJAX와 같은 기술을 많이 사용하는 매우 복잡한 웹 응용 프로그램을 지원할 수 있습니다.

마지막으로, 간단한 명령 라인 스캐너 유틸리티, 스캐너의 글로벌 고성능 그리드, 스크립트 감사, 멀티 스캔 웹 협업 플랫폼에 이르기까지 다양한 사용 사례를 다루기에 충분합니다.

참고 : Arachni는 대부분 웹 응용 프로그램 보안을 대상으로한다는 사실에도 불구하고 사용자 지정 구성 요소를 추가하여 범용 스크래핑, 데이터 마이닝 등에 쉽게 사용할 수 있습니다.

Check , report 및 plugin 개발자는 목표를 달성하는 데 필요한 인프라를 제공하면서 부과 된 최소 금액으로 구성 요소를 쉽고 신속하게 작성하고 배포 할 수 있습니다.

또한, 그들은 통합 된 프레임 워크에서 루비 언어를 최대한 활용하여 생산성을 강화하거나 작업을 복잡하게하지 않고 생산성을 높일 수 있습니다.

또한 동일한 프레임 워크는 다른 Ruby 라이브러리로 활용 될 수 있으며 새로운 스캐너의 개발로 이어지거나 고도로 사용자 정의 된 스캔/감사 시나리오 및/또는 스크립트 스캔을 만들 수 있습니다.

프레임 워크의 일부는 상당히 복잡하지만 직접 처리 할 필요는 없습니다. 사용자 또는 구성 요소 개발자의 관점에서 모든 것이 간단하고 간단하게 보이면서 전원, 성능 및 유연성을 제공합니다.

간단한 명령 줄 유틸리티 스캐너에서 직관적이고 사용자 친화적 인 웹 인터페이스 및 협업 플랫폼에 이르기까지 Arachni는 최소한의 놀라움 원칙을 따르며 많은 피드백과 지침을 제공합니다.

Arachni는 웹 응용 프로그램의 보안 문제를 자동으로 감지하도록 설계되었습니다. 예상되는 것은 대상 웹 사이트의 URL이며 잠시 후 그 결과를 제시 할 것입니다.

• 쿠키 자르/쿠키 스트링 지원.
• 맞춤형 헤더 지원.
• 세분화 된 옵션을 사용한 SSL 지원.
• 사용자 에이전트 스푸핑.
• Socks4, Socks4A, Socks5, HTTP/1.1 및 HTTP/1.0에 대한 프록시 지원.
• 프록시 인증.
• 사이트 인증 (SSL 기반, 양식 기반, 쿠키 자르, Basic 소수점, NTLMV1, Kerberos 및 기타).
• 스캔 중 자동 로그 아웃 감지 및 다시 로그인 ( autologin , login_script 또는 proxy 플러그인을 통해 초기 로그인이 수행 된 경우).
• 사용자 정의 404 페이지 탐지.
• UI 추상화 :
  • 명령 줄 인터페이스.
  • 웹 사용자 인터페이스.
• 일시 정지/이력서 기능.
• 최대 절전 모드 지원 - 디스크에서 일시 중단 및 복원.
• 고성능 비동기 HTTP 요청.
  • 조정 가능한 동시성.
  • 서버 건강을 자동화하고 동시성을 자동으로 조정하는 기능을 갖추고 있습니다.
• 패턴 쌍 (입력 이름과 일치하는)과 일치하는 입력을 채우는 데 사용할 값을 사용하여 사용자 정의 기본 입력 값을 지원합니다.

Arachni는 HTML5, JavaScript, DOM 조작, AJAX 등과 같은 기술을 사용하는 최신 웹 애플리케이션에 충분한 범위를 제공하기 위해 통합 된 실제 브라우저 환경이 포함되어 있습니다.

Arachni의 브라우저는 바닐라 돔 및 자바 스크립트 환경의 모니터링 외에도 인기있는 프레임 워크에 연결되어 기록 된 데이터를 쉽게 소화 할 수 있도록합니다.

• jQuery
• Angularjs
• 앞으로 더 ...

본질적으로 이것은 Arachni를 DOM 및 JavaScript 디버거로 바꾸어 DOM 이벤트 및 JavaScript 데이터 및 실행 흐름을 모니터링 할 수 있습니다. 결과적으로 시스템은 DOM 기반 문제를 유발하고 식별 할 수있을뿐만 아니라 당시 페이지의 상태에 관한 많은 정보와 함께 제공됩니다.

관련 정보는 다음과 같습니다.

• HTML 코드로서 페이지 dom.
  • 페이지의 상태를 로그인 당시 페이지의 상태를 복원하는 데 필요한 DOM 전환 목록을 사용합니다.
• 원본 DOM (즉, 페이지를 기록한 작업 이전), HTML 코드로.
  • DOM 전환 목록.
• 데이터 흐름 싱크-각 싱크는 오염 된 인수를받은 JS 방법입니다.
  • 메소드의 부모 객체 (예 : DOMWindow ).
  • 메소드 시그니처 (예 : decodeURIComponent() ).
  • 인수 목록.
    • 확인 된 오염이 포함 된 물체에서 재귀 적으로 위치합니다.
  • 메소드 소스 코드.
  • JS 스택 트레이스.
• 실행 흐름 싱크 - 각 싱크는 보안 검사에 의해 주입 된대로 성공적으로 실행 된 JS 페이로드입니다.
  • JS 스택 트레이스가 포함되어 있습니다.
• JavaScript 스택 트레이스는 다음과 같습니다.
  • 메소드 이름.
  • 방법 위치.
  • 방법 소스 코드.
  • 인수 목록.

본질적으로, 당신은 당신은 당신이 좋아하는 디버거 (예 : Firebug)가 문제를 식별하기 위해 적절한 시간에 발생하는 중단 점을 설정 한 것처럼 제공하는 거의 동일한 정보에 액세스 할 수 있습니다.

브라우저 클러스터는 리소스 브라우저 분석을 조정하고 시스템이 일반적으로 고성능 방식으로 시간이 많이 걸리는 작업을 수행 할 수 있도록합니다.

구성 옵션은 다음과 같습니다.

• 조절 가능한 풀 크기, 즉 활용 할 브라우저 작업자의 양이 있습니다.
• 각 작업에 대한 시간 초과.
• 작업자 TTL은 작업에 포함됩니다. TTL을 초과하는 근로자는 브라우저 프로세스가 부활했습니다.
• 이미지로드를 비활성화하는 기능.
• 조정 가능한 화면 너비 및 높이.
  • 반응 형 및 모바일 애플리케이션을 분석하는 데 사용할 수 있습니다.
• 페이지에 특정 요소가 나타날 때까지 기다릴 수 있습니다.
• 구성 가능한 로컬 스토리지 데이터.

이 시스템은 통합 브라우저 환경으로 인해 최신 웹 애플리케이션에 큰 적용 범위를 제공 할 수 있습니다. 이를 통해 인간과 마찬가지로 클라이언트 측 코드 (예 : JavaScript)를 많이 사용하는 복잡한 응용 프로그램과 상호 작용할 수 있습니다.

그 외에도, 응용 프로그램이 처리하도록 프로그래밍 된 브라우저 상태 변경 사항을 알고 있으며 가능한 전체 시나리오에 대한 적용 범위를 제공하기 위해 프로그래밍 방식으로 트리거 할 수 있습니다.

Arachni는 가능한 모든 페이지와 해당 상태를 검사하여 다음 요소와 입력을 추출하고 감사 할 수 있습니다.

• 형태
  • DOM 이벤트로 인해 실제 브라우저를 통한 상호 작용이 필요한 것과 함께.
• 사용자 인터페이스 양식
  • HTML <form> 요소에 속하지 않고 JS 코드를 통해 연결되는 입력 및 버튼 그룹.
• 사용자 인터페이스 입력
  • 관련 DOM 이벤트가있는 고아 <input> 요소.
• 모래밭
  • 조각에 클라이언트-사이드 매개 변수가있는 것과 함께, 즉 http://example.com/#/?param=val&param2=val2
  • 재 작성 규칙을 지원합니다.
• LinkTemplates- 사용자가 공급 한 템플릿을 기반으로 일반 경로에서 임의의 입력을 추출 할 수 있습니다. 재 작성 규칙을 사용할 수없는 경우 유용합니다.
  • URL 조각에 클라이언트-사이드 매개 변수가있는 것과 함께 http://example.com/#/param/val/param2/val2
• 쿠키
  • 또한 개별 쿠키 내부에 키 가치 쌍이 포함 된 중첩 쿠키도 지원합니다.
• 헤더
• 관련 DOM 이벤트가있는 일반 클라이언트 측 요소.
• Ajax-Request 매개 변수.
• JSON 요청 데이터.
• XML 요청 데이터.

Arachni는 워크 플로에 맞고 기존 인프라와 쉽게 통합하도록 설계되었습니다.

프로세스에 필요한 제어 수준에 따라 나머지 서비스 또는 사용자 정의 RPC 프로토콜을 선택할 수 있습니다.

두 가지 접근 방식 모두 다음을 수행 할 수 있습니다.

• 스캔을 원격으로 모니터링하고 관리합니다.
• 동시에 여러 스캔을 수행합니다. 각 스캔은 다음을 활용하기 위해 자체 OS 프로세스로 구획화됩니다.
  • 멀티 코어/SMP 아키텍처.
  • OS 레벨 스케줄링/제한.
  • 샌드 박스 실패 전파.
• 안전한 채널을 통해 통신하십시오.

• 매우 간단하고 간단한 API.
• 비 루비 시스템과의 쉬운 상호 운용성.
  • HTTP에서 작동합니다.
  • JSON을 사용하여 메시지를 포맷합니다.
• 상태가 높은 스캔 모니터링.
  • 고유 한 세션은 전체 데이터가 아닌 진행 상황을위한 폴링시 업데이트 만 자동으로받습니다.

• 고성능/저 대역폭 통신 프로토콜.
  • MessagePack 직렬화 성능, 효율성 및 타사 시스템과의 통합 용이성.
• 그리드:
  • 자기 치유.
  • 핫 플러깅/핫 미분식 노드로 스케일 업/다운.
    • 스캔 용량을 높이기 위해 노드를 추가하여 무한대로 확장 할 수 있습니다.
  • (항상 온) 로드 밸런싱-모든 인스턴스는 최소 부담 그리드 멤버가 자동으로 제공합니다.
    • 스캔 당 옵트 아웃/재정의 선택적.
  • (선택 사항) 고성능 모드-다중 노드의 리소스를 결합하여 다중 인스턴스 스캔을 수행합니다.
    • 스캔별로 활성화됩니다.

• 일반 표현 및 카운터를 기반으로 한 갤러리, 카탈로그 등과 같은 중복 페이지 용 필터.
  • 선택적으로 중복 페이지를 자동으로 감지하고 무시할 수 있습니다.
• 정규 표현식을 사용한 URL 제외 필터.
• 정규 표현식을 사용하여 컨텐츠를 기반으로 한 페이지 제외 필터.
• 정규 표현식을 사용한 URL 포함 필터.
• HTTPS 경로 만 따라야하고 HTTP로 다운 그레이드되지 않아야합니다.
• 선택적으로 하위 도메인을 따를 수 있습니다.
• 조정 가능한 페이지 수 제한.
• 조정 가능한 리디렉션 한계.
• 조정 가능한 디렉토리 깊이 제한.
• 조정 가능한 DOM 깊이 한계.
• URL-Lewrite 규칙을 사용한 조정.
• 여러 사용자가 제공 한 파일의 경로를 읽을 수 있습니다 (범위를 제한하고 확장).

• 감사 할 수 :
  • 형태
    • Nonce 토큰을 자동으로 새로 고칠 수 있습니다.
    • 통합 브라우저 환경을 통해 제출할 수 있습니다.
  • 사용자 인터페이스 양식
    • HTML <form> 요소에 속하지 않고 JS 코드를 통해 연결되는 입력 및 버튼 그룹.
  • 사용자 인터페이스 입력
    • 관련 DOM 이벤트가있는 고아 <input> 요소.
  • 모래밭
    • 통합 브라우저 환경을 통해로드 할 수 있습니다.
  • LinkTemplates
    • 통합 브라우저 환경을 통해로드 할 수 있습니다.
  • 쿠키
    • 통합 브라우저 환경을 통해로드 할 수 있습니다.
  • 헤더
  • 일반 클라이언트 측 DOM 요소.
  • JSON 요청 데이터.
  • XML 요청 데이터.
• 이진/비 텍스트 페이지를 무시할 수 있습니다.
• GET 및 POST http 방법을 모두 사용하여 요소를 감사 할 수 있습니다.
• RAW 및 HTTP 인코딩 된 페이로드를 모두 주입 할 수 있습니다.
• 쿠키 순열과 함께 모든 링크와 페이지 양식을 제출하여 광범위한 쿠키 고용 범위를 제공 할 수 있습니다.
• 특정 입력 벡터를 이름으로 제외 할 수 있습니다.
• 특정 입력 벡터를 이름별로 포함시킬 수 있습니다.

Arachni는 고도로 모듈 식 시스템으로, 의무를 수행하기 위해 고유 한 유형의 여러 구성 요소를 사용합니다.

필요에 따라 시스템의 동작 및 기능을 조정하기 위해 번들 된 구성 요소를 활성화 또는 비활성화하는 것 외에도 거의 모든 요구에 맞게 사용자가 만든 구성 요소를 추가하여 기능을 확장 할 수 있습니다.

사용 가능한 대역폭을 효율적으로 사용하기 위해 Arachni는 초보 플랫폼 지문을 수행하고 해당 페이로드 만 사용하여 감사 프로세스를 서버 측 배포 된 기술에 맞게 조정합니다.

현재 다음 플랫폼을 식별 할 수 있습니다.

• 운영 체제
  • BSD
  • 리눅스
  • 유닉스
  • 창
  • Solaris
• 웹 서버
  • 아파치
  • iis
  • nginx
  • 수코양이
  • 둑
  • 건니콘
• 프로그래밍 언어
  • PHP
  • ASP
  • ASPX
  • 자바
  • 파이썬
  • 루비
• 프레임 워크
  • 고문
  • 케이크
  • 울타리
  • 장고
  • ASP.NET MVC
  • JSF
  • 체리
  • 네트
  • Symfony

또한 시스템이 가능한 한 효율적으로 도움을주기 위해 추가 플랫폼 (DB 서버와 같은)을 지정할 수있는 옵션도 있습니다. 또는 지문이 완전히 비활성화 될 수 있습니다.

마지막으로, Arachni는 항상주의를 기울이고 특정 플랫폼을 식별하지 못할 때 사용 가능한 모든 페이로드를 보냅니다.

점검은 보안 검사 및 로그 문제를 수행하는 시스템 구성 요소입니다.

활성 점검은 입력을 통해 웹 응용 프로그램을 사용합니다.

• SQL 주입 ( sql_injection ) - 오류 기반 감지.
  • 신탁
  • 인터베이스
  • Postgresql
  • MySQL
  • MSSQL
  • EMC
  • sqlite
  • DB2
  • 정보
  • 파이어 버드
  • SAP MAX DB
  • Sybase
  • 프론트베이스
  • 잉그레스
  • HSQLDB
  • MS 액세스
• 차등 분석을 사용한 블라인드 SQL 주입 ( sql_injection_differential ).
• 타이밍 공격을 사용한 블라인드 SQL 주입 ( sql_injection_timing ).
  • MySQL
  • Postgresql
  • MSSQL
• NOSQL 주입 ( no_sql_injection ) - 오류 기반 취약성 감지.
  • Mongodb
• 차등 분석을 사용한 블라인드 NOSQL 주입 ( no_sql_injection_differential ).
• CSRF 검출 ( csrf ).
• 코드 주입 ( code_injection ).
  • PHP
  • 루비
  • 파이썬
  • 자바
  • ASP
• 타이밍 공격 ( code_injection_timing )을 사용한 블라인드 코드 주입.
  • PHP
  • 루비
  • 파이썬
  • 자바
  • ASP
• LDAP 주입 ( ldap_injection ).
• 경로 트래버스 ( path_traversal ).
  • *아니야
  • 창
  • 자바
• 파일 포함 ( file_inclusion ).
  • *아니야
  • 창
  • 자바
  • PHP
  • 펄
• 응답 분할 ( response_splitting ).
• OS 명령 주입 ( os_cmd_injection ).
  • *아니야
  • *BSD
  • IBM AIX
  • 창
• 타이밍 공격 ( os_cmd_injection_timing )을 사용한 블라인드 OS 명령 주입.
  • 리눅스
  • *BSD
  • Solaris
  • 창
• 원격 파일 포함 ( rfi ).
• 검증되지 않은 리디렉션 ( unvalidated_redirect ).
• 비 검증 된 DOM 리디렉션 ( unvalidated_redirect_dom ).
• xpath 주입 ( xpath_injection ).
  • 일반적인
  • PHP
  • 자바
  • 도트 넷
  • libxml2
• XSS ( xss ).
• 경로 XSS ( xss_path ).
• XSS 이벤트의 html 요소의 속성 ( xss_event ).
• HTML 태그 ( xss_tag )의 XSS.
• 스크립트 컨텍스트의 XSS ( xss_script_context ).
• Dom XSS ( xss_dom ).
• dom xss 스크립트 컨텍스트 ( xss_dom_script_context ).
• 소스 코드 공개 ( source_code_disclosure )
• XML 외부 엔티티 ( xxe ).
  • 리눅스
  • *BSD
  • Solaris
  • 창

패시브 검사 파일, 폴더 및 서명의 존재를 찾습니다.

• 허용 HTTP 방법 ( allowed_methods ).
• 백업 파일 ( backup_files ).
• 백업 디렉토리 ( backup_directories )
• 공통 관리 인터페이스 ( common_admin_interfaces ).
• 공통 디렉토리 ( common_directories ).
• 공통 파일 ( common_files ).
• http put ( http_put ).
• 암호 양식에 대한 전송 계층 보호가 충분하지 않습니다 ( unencrypted_password_form ).
• Webdav Detection ( webdav ).
• HTTP 트레이스 감지 ( xst ).
• 신용 카드 번호 공개 ( credit_card ).
• CVS/SVN 사용자 공개 ( cvs_svn_users ).
• 개인 IP 주소 공개 ( private_ip ).
• 일반적인 백도어 ( backdoors ).
• .htaccess 제한 오해 ( htaccess_limit ).
• 흥미로운 응답 ( interesting_responses _responses).
• HTML 객체 Grepper ( html_objects ).
• 이메일 주소 공개 ( emails ).
• 미국 사회 보장 번호 공개 ( ssn ).
• 강력한 디렉토리 목록 ( directory_listing ).
• 혼합 리소스/스크립팅 ( mixed_resource ).
• 불안한 쿠키 ( insecure_cookies ).
• httponly 쿠키 ( http_only_cookies ).
• 비밀번호 양식 필드에 대한 자동 완성 ( password_autocomplete ).
• Origin 스푸핑 액세스 제한 우회 ( origin_spoof_access_restriction_bypass )
• 양식 기반 업로드 ( form_upload )
• localstart.asp ( localstart_asp )
• 부모 도메인 용 쿠키 세트 ( cookie_set_for_parent_domain )
• HTTPS ( hsts ) 용 Strict-Transport-Security 헤더 누락.
• 누락 X-Frame-Options 헤더 ( x_frame_options ).
• 불안한 CORS 정책 ( insecure_cors_policy ).
• 불안한 크로스 도메인 정책 (허용-액세스 -From) ( insecure_cross_domain_policy_access )
• 불안한 크로스 도메인 정책 (허용-http-request-headers-from) ( insecure_cross_domain_policy_headers )
• 불안한 클라이언트 액세스 정책 ( insecure_client_access_policy )

• 표준 출력
• html (zip) ( html ).
• XML ( xml ).
• 텍스트 ( text ).
• JSON ( json )
• 마샬 ( marshal )
• Yaml ( yaml )
• AFR ( afr )
  • 기본 arachni 프레임 워크 보고서 형식.

플러그인은 모듈 식 방식으로 시스템에 추가 기능을 추가합니다.이 방법으로 코어는 남아 있으며 누구나 자의적 기능을 쉽게 추가 할 수 있습니다.

• Passive Proxy ( proxy )-웹 앱과 AJAX 감사, 로그인 및/또는 감사 범위를 제한하는 브라우저 간의 요청 및 응답을 분석합니다.
• 양식 기반 로그인 ( autologin ).
• 스크립트 기반 로그인 ( login_script ).
• HTTP Auth ( http_dicattack )의 사전 공격자.
• 양식 기반 인증에 대한 사전 공격자 ( form_dicattack ).
• Cookie Collector ( cookie_collector ) - 변경 타임 라인을 설정하면서 쿠키를 추적합니다.
• WAF (Web Application Firewall) Detector ( waf_detector ) - 정상적인 동작의 기준을 설정하고 RDIFF 분석을 사용하여 악의적 인 입력이 행동 변경을 유발하는지 확인합니다.
• beepnotify ( beep_notify ) - 스캔이 완료되면 경고음이 울립니다.
• emailnotify ( email_notify ) - 스캔이 끝날 때 SMTP에 대한 알림 (및 선택적으로 보고서)을 보냅니다.
• VectorFeed ( vector_feed ) - 감사 할 요소를 생성하는 벡터 데이터를 읽습니다. 벡터/요소 기준으로 매우 전문적이고 좁은 감사를 수행하는 데 사용할 수 있습니다. 단위 테스트 또는 다른 것들에 유용합니다.
• 스크립트 ( script ) - 플러그인의 범위에서 외부 루비 스크립트를로드하고 실행하며 디버깅 및 일반 해커에 사용됩니다.
• 드문 헤더 ( uncommon_headers ) - 로그 드문 헤더.
• Content-Types ( content_types )-흥미로운 (유출 된) 파일을 식별하는 데 도움이되는 컨텐츠 유형의 서버 응답을 기록합니다.
• Vector Collector ( vector_collector ) - 스캔 범위 내에있는 모든 입력 벡터에 대한 정보를 수집합니다.
• 헤더 컬렉터 ( headers_collector ) - 지정된 기준에 따라 응답 헤더를 수집합니다.
• exec ( exec ) - 다른 스캔 단계에서 외부 실행 파일을 호출합니다.
• 메트릭 ( metrics ) - 스캔 및 웹 응용 프로그램의 여러 측면에 대한 메트릭을 캡처합니다.
• DOM State ( restrict_to_dom_state )로 제한 - URL 조각을 기반으로 감사를 단일 페이지의 DOM 상태로 제한합니다.
• Webhook Notify ( webhook_notify ) - 스캔이 끝날 때 HTTP를 통해 WebHook 페이로드를 보냅니다.
• 속도 리미터 ( rate_limiter ) - 속도 제한 HTTP 요청.
• 페이지 덤프 ( page_dump ) - 덤프 페이지 데이터를 yaml로 디스크로 덤프합니다.

모든 스캔마다 기본 플러그인이 실행되며 /plugins/defaults/ 아래에 배치됩니다.

• Autothrottle ( autothrottle ) - 최대 대역폭 활용을 위해 스캔하는 동안 HTTP 처리량을 동적으로 조정합니다.
• HealthMap ( healthmap ) - 각 크롤링/감사 URL의 건강을 보여주는 Siteemap을 생성합니다.

아래의 플러그인 /plugins/defaults/meta/ 스캔 결과에 대한 분석을 수행하여 신뢰성을 결정하거나 컨텍스트 정보 또는 일반적인 통찰력을 추가합니다.

• TimingAttacks ( timing_attacks ) - 영향을받는 감사 페이지가 비정상적으로 높은 응답 시간을 반환했을 때 타이밍 공격으로 발견되지 않은 문제에 대한 통지를 제공합니다. 또한 중대한 처리를 수행하는 페이지에 대한 DOS 공격의 위험을 지적합니다.
• Discovery ( discovery ) - Discovery Checks에 의해 기록 된 문제와 해당되는 경우 잘못된 긍정적 인 가능성에 대한 경고에 대한 이상 탐지를 수행합니다.
• 균일 성 ( uniformity ) - 입력 소독의 중심점이 부족하여 균일 한 페이지에서 균일하게 취약한 입력을보고합니다.

트레이너는 Arachni가 수행하는 스캔에서 배우고 감사 기간 동안 해당 지식을 즉시 통합 할 수 있도록합니다.

점검은 프레임 워크가 유도 할 HTTP 응답에서 배울 수 있도록 개별적으로 강요 할 수 있습니다.

그러나 Arachni가 어떤 요청이 새로운 요소를 발견하거나 공격 벡터를 발견 할 가능성이 더 높고 그에 따라 스스로 적응할 가능성이 더 높기 때문에 일반적으로 필요하지 않습니다.

그럼에도 불구하고 이것은 퍼지 수표에 귀중한 자산이 될 수 있습니다.

rake spec 실행하여 모든 사양을 실행하거나 다음을 사용하여 선택적으로 실행할 수 있습니다.

 rake spec:core            # for the core libraries
rake spec:checks          # for the checks
rake spec:plugins         # for the plugins
rake spec:reports         # for the reports
rake spec:path_extractors # for the path extractors

핵심 사양은 시스템의 그리드/다중 인스턴스 기능을 테스트해야하기 때문에 기계의 짐승이 필요 합니다 .

참고 : 점검 사양은 타이밍 공격 테스트로 인해 완료하는 데 많은 시간이 걸립니다.

GitHub 문제를 사용하여 버그를 제출하고 지원 포털을 통해 지원을받습니다.

(작업을 시작하기 전에 소스 코드 작업을위한 지침을 읽으십시오.)

우리는 동료 코드 몬키의 도움을 받아들이게되어 기쁩니다. 코드를 기여하기 위해 따라야 할 단계입니다.

• 프로젝트를 포크하십시오.
• 실험 분기 ( git checkout -b <feature-name> experimental )를 기반으로 기능 분기를 시작하십시오.
• 코드에 대한 사양을 추가하십시오.
• 사양 스위트를 실행하여 아무것도 깨지지 않도록하십시오 ( rake spec:core for the Core Libs 또는 rake spec 의 Core).
• 변경하고 변경하십시오.
• 풀 요청을 발행하고 코드가 검토 될 때까지 기다리십시오.

Arachni Public Source License v1.0- 자세한 내용은 라이센스 파일을 참조하십시오.