arachni

Arachni正朝着过时的态度，尝试其下一代继任者Ecsypno代号SCNR！

Arachni是一个功能丰富，模块化，高性能的红宝石框架，旨在帮助渗透测试人员和管理员评估Web应用程序的安全性。

它很聪明，它通过在扫描过程中监视和从Web应用程序的行为中学习和学习来进行训练，并能够使用许多因素进行荟萃分析，以便正确评估结果的可信度并智能地识别（或避免使用）错误的启示。

与其他扫描仪不同，它考虑了Web应用程序的动态性质，可以检测到穿过Web应用程序环境复杂性的路径时引起的变化，并能够相应地调整自身。这样，可以无缝处理非人类无法检测到的攻击/输入向量。

此外，由于其集成的浏览器环境，它还可以审核和检查客户端代码，并支持高度复杂的Web应用程序，这些应用程序大量使用JavaScript，HTML5，DOM Manipulation和Ajax。

最后，它的用途足够多，可以涵盖大量用例，从简单的命令行扫描仪实用程序到全球扫描仪的全球高性能网格，再到允许脚本审核的Ruby库，再到多用户多用户多扫描网络协作平台。

注意：尽管Arachni主要针对Web应用程序安全性，但可以通过添加自定义组件来轻松地用于通用刮擦，数据挖掘等。

允许Check ， report和plugin开发人员轻松，快速地创建和部署其组件，并对他们施加的最小限制量，同时提供实现目标的必要基础架构。

此外，鼓励他们在统一的框架下充分利用红宝石语言，这将提高其生产力而不扼杀他们或使任务复杂化。

此外，同一框架可以用作任何其他Ruby库，并导致全新的扫描仪的开发，或帮助您创建高度自定义的扫描/审核场景和/或脚本扫描。

尽管该框架的某些部分非常复杂，但您将永远不必直接处理它们。从用户或组件开发人员的角度来看，所有内容始终显得简单明了，同时提供了功率，性能和灵活性。

从简单的命令行实用程序扫描仪到直观且用户友好的Web界面和协作平台，Arachni遵循至少令人惊讶的原则，并为您提供大量的反馈和指导。

Arachni旨在自动检测Web应用程序中的安全问题。它所期望的只是目标网站的URL，一段时间后它将向您介绍其发现。

• cookie-jar/cookie-string支持。
• 自定义标头支持。
• SSL支持具有细粒度选项。
• 用户代理欺骗。
• 对SOCKS4，SOCKS4A，SOCKS5，HTTP/1.1和HTTP/1.0的代理支持。
• 代理身份验证。
• 站点身份验证（基于SSL，基于表格，cookie-jar，basic-digest，ntlmv1，kerberos等）。
• 在扫描过程中自动注销检测并重新固定（通过autologin ， login_script或proxy插件执行初始登录时）。
• 自定义404页检测。
• UI抽象：
  • 命令行接口。
  • Web用户界面。
• 暂停/简历功能。
• 休眠支持 - 暂停并从磁盘恢复。
• 高性能异步HTTP请求。
  • 具有可调并发。
  • 具有自动检测服务器健康并自动调整其并发性的能力。
• 支持自定义默认输入值，使用对模式（与输入名称匹配）和用于填充匹配输入的值。

Arachni包括一个集成的，真正的浏览器环境，以便对现代Web应用程序提供足够的覆盖范围，这些应用程序利用HTML5，JavaScript，DOM Manipulation，Ajax，Ajax等技术提供了足够的覆盖。

除了监视香草DOM和JavaScript环境外，Arachni的浏览器还将流行框架挂接，以使记录的数据更易于消化：

• jQuery
• Angularjs
• 还有更多...

从本质上讲，这将Arachni变成DOM和JavaScript调试器，允许其监视DOM事件，JavaScript数据和执行流。结果，系统不仅可以触发和识别基于DOM的问题，而且还会伴随他们提供有关当时页面状态的大量信息。

相关信息包括：

• 页面DOM，作为HTML代码。
  • 在登录时，需要将页面状态恢复到该页面的状态所需的DOM转换列表。
• 原始DOM（即在导致页面记录的操作之前），作为HTML代码。
  • 带有DOM过渡列表。
• 数据流式接收器 - 每个接收器都是一种JS方法，它收到了一个污染的参数。
  • 该方法的父对象（例如： DOMWindow ）。
  • 方法签名（ex。：decodeuricomponent decodeURIComponent() ）。
  • 参数列表。
    • 鉴定出的污点递归地位于随附的对象中。
  • 方法源代码。
  • JS Stacktrace。
• 执行流量接收器 - 每个接收器都是成功执行的JS有效负载，如安全检查注入。
  • 包括JS StackTrace。
• JavaScript堆栈跟踪包括：
  • 方法名称。
  • 方法位置。
  • 方法源代码。
  • 参数列表。

本质上，您可以访问与您最喜欢的调试器（例如Firebug）提供的大致相同的信息，就好像您设置了一个断点以在正确的时间进行确定问题一样。

浏览器群集是协调资源浏览器分析的原因，并允许系统执行通常以高性能方式消耗的操作。

配置选项包括：

• 可调节的池大小，即要使用的浏览器工人的数量。
• 每个工作的超时。
• 工人TTL在工作中计算 - 超过TTL的工人的浏览器流程重新出现。
• 能够禁用加载图像。
• 可调节的屏幕宽度和高度。
  • 可用于分析响应式和移动应用程序。
• 等待直到页面中出现某些元素的能力。
• 可配置的本地存储数据。

由于其集成的浏览器环境，该系统可以为现代Web应用程序提供出色的覆盖范围。这使其可以像人类一样大量使用客户端代码（例如JavaScript）的复杂应用程序进行交互。

除此之外，它还知道哪些浏览器状态更改该应用程序已被编程为处理，并能够在程序上触发它们，以便为一组可能的情况提供覆盖范围。

通过检查所有可能的页面及其状态（使用客户端代码时）Arachni能够提取和审核以下元素及其输入：

• 表格
  • 以及由于DOM事件而需要通过真实浏览器进行交互的方法。
• 用户界面表单
  • 输入和按钮组不属于HTML <form>元素，而是通过JS代码关联的。
• 用户界面输入
  • 带有关联的DOM事件的孤儿<input>元素。
• 链接
  • 以及在其片段中具有客户端参数的那些，即： http://example.com/#/?param=val&param2=val2 ：//example.com/#/?param=val&param2=val2
  • 支持重写规则。
• linkTemplates-允许基于用户提供的模板从通用路径中提取任意输入 - 当无法可用时，有用。
  • 以及在URL片段中具有客户端参数的内容，即：http： http://example.com/#/param/val/param2/val2
• 曲奇饼
  • 还支持嵌套饼干，其中包含单个cookie内部的键值对。
• 标题
• 具有关联DOM事件的通用客户端元素。
• ajax-requeast参数。
• JSON请求数据。
• XML请求数据。

Arachni旨在适合您的工作流程，并可以轻松地与现有的基础架构集成。

根据您在整个过程中需要的控制级别，您可以选择REST服务或自定义RPC协议。

两种方法都使您可以：

• 远程监视和管理扫描。
• 同时执行多次扫描 - 每次扫描都会划分为自己的操作系统流程以利用：
  • 多核/SMP体系结构。
  • OS级调度/限制。
  • 沙盒失效传播。
• 通过安全的频道进行通信。

• 非常简单明了的API。
• 与非腐败系统的易于互操作性。
  • 通过HTTP操作。
  • 使用JSON格式化消息。
• 状态扫描监视。
  • 独特的会话自动仅在投票进行进度而不是完整数据时才接收更新。

• 高性能/低型宽宽通信协议。
  • MessagePack序列化，以效果，效率和与第三方系统集成的易用性。
• 网格：
  • 自我修复。
  • 通过热拔拔/热解的节点向上/向下扩展。
    • 可以通过添加节点来增加扫描能力来无限地扩展。
  • （始终在线）负载平衡 - 所有实例均自动由负担重的网格成员自动提供。
    • 可选的每扫描选择退出/覆盖。
  • （可选）高性能模式 - 结合了多个节点的资源以执行多个固定扫描。
    • 以每扫描为基础启用。

• 根据正则表达式和计数器，用于冗余页面的过滤器，例如画廊，目录等。
  • 可以选择自动检测并忽略冗余页面。
• URL使用正则表达式排除过滤器。
• 使用正则表达式基于内容的页面排除过滤器。
• URL纳入使用正则表达式过滤器。
• 可以被迫仅遵循HTTPS路径，而不会降级到HTTP。
• 可以选择遵循子域。
• 可调节的页面计数限制。
• 可调节的重定向限制。
• 可调目录深度极限。
• 可调节的DOM深度极限。
• 使用URL-剥离规则进行调整。
• 可以读取从多个用户提供的文件（以限制和扩展范围）的路径。

• 可以审核：
  • 表格
    • 可以自动刷新nonce令牌。
    • 可以通过集成的浏览器环境提交它们。
  • 用户界面表单
    • 输入和按钮组不属于HTML <form>元素，而是通过JS代码关联的。
  • 用户界面输入
    • 带有关联的DOM事件的孤儿<input>元素。
  • 链接
    • 可以通过集成的浏览器环境加载它们。
  • linkTemplates
    • 可以通过集成的浏览器环境加载它们。
  • 曲奇饼
    • 可以通过集成的浏览器环境加载它们。
  • 标题
  • 通用客户端DOM元素。
  • JSON请求数据。
  • XML请求数据。
• 可以忽略二进制/非文本页面。
• 可以使用GET和POST HTTP方法审核元素。
• 可以注入RAW和HTTP编码有效载荷。
• 可以提交页面的所有链接和表格以及cookie置换量，以提供广泛的cookie审计覆盖范围。
• 可以按名称排除特定的输入向量。
• 可以按名称包含特定的输入向量。

Arachni是一个高度模块化的系统，采用多种不同类型的组成部分来履行其职责。

除了启用或禁用捆绑组件以根据需要调整系统的行为和功能外，还可以通过添加用户创建的组件来扩展功能，以适合几乎所有需求。

为了有效利用可用的带宽，Arachni仅通过使用适用的有效负载来执行基本平台指纹识别，并根据服务器端部署的技术量身定制审计过程。

目前，可以识别以下平台：

• 操作系统
  • BSD
  • Linux
  • Unix
  • 视窗
  • Solaris
• Web服务器
  • apache
  • II
  • nginx
  • tomcat
  • 码头
  • 枪支
• 编程语言
  • php
  • ASP
  • aspx
  • 爪哇
  • Python
  • 红宝石
• 框架
  • 架子
  • 蛋糕
  • 铁轨
  • Django
  • ASP.NET MVC
  • JSF
  • 樱桃
  • Nette
  • 对称

用户还可以选择指定额外的平台（例如DB服务器），以帮助系统提高效率。或者，可以完全禁用指纹。

最后，Arachni将始终在谨慎的一边犯错，并在无法识别特定平台时发送所有可用的有效载荷。

检查是执行安全检查和日志问题的系统组件。

主动检查通过其输入参与Web应用程序。

• SQL注入（ sql_injection ） - 基于错误的检测。
  • Oracle
  • 互相
  • Postgresql
  • mysql
  • MSSQL
  • EMC
  • sqlite
  • DB2
  • Informix
  • 火鸟
  • SAP Max DB
  • Sybase
  • 前排
  • Ingres
  • HSQLDB
  • MS访问
• 使用差分分析（ sql_injection_differential ）使用盲SQL注入。
• 使用计时攻击（ sql_injection_timing ）的盲sql注入。
  • mysql
  • Postgresql
  • MSSQL
• NOSQL注入（ no_sql_injection ） - 基于错误的漏洞检测。
  • mongodb
• 使用差分分析（ no_sql_injection_differential ）使用盲nosql注入。
• CSRF检测（ csrf ）。
• 代码注入（ code_injection ）。
  • php
  • 红宝石
  • Python
  • 爪哇
  • ASP
• 使用计时攻击（ code_injection_timing ）注入盲代码。
  • php
  • 红宝石
  • Python
  • 爪哇
  • ASP
• LDAP注入（ ldap_injection ）。
• 路径遍历（ path_traversal ）。
  • *尼克斯
  • 视窗
  • 爪哇
• 文件包含（ file_inclusion ）。
  • *尼克斯
  • 视窗
  • 爪哇
  • php
  • 珀尔
• 响应分配（ response_splitting ）。
• OS命令注入（ os_cmd_injection ）。
  • *尼克斯
  • *BSD
  • IBM AIX
  • 视窗
• 使用计时攻击（ os_cmd_injection_timing ）注入盲os命令。
  • Linux
  • *BSD
  • Solaris
  • 视窗
• 远程文件包含（ rfi ）。
• 未验证的重定向（ unvalidated_redirect ）。
• 未验证的DOM重定向（ unvalidated_redirect_dom ）。
• X Path注入（ xpath_injection ）。
  • 通用的
  • php
  • 爪哇
  • dotnet
  • libxml2
• XSS（ xss ）。
• 路径XSS（ xss_path ）。
• XSS在HTML元素（ xss_event ）的事件属性中。
• HTML标签（ xss_tag ）中的XSS。
• XSS在脚本上下文（ xss_script_context ）中。
• DOM XSS（ xss_dom ）。
• DOM XSS脚本上下文（ xss_dom_script_context ）。
• 源代码披露（ source_code_disclosure ）
• XML外部实体（ xxe ）。
  • Linux
  • *BSD
  • Solaris
  • 视窗

被动检查查找文件，文件夹和签名的存在。

• 允许的HTTP方法（ allowed_methods ）。
• 备份文件（ backup_files ）。
• 备份目录（ backup_directories ）
• 公共管理接口（ common_admin_interfaces ）。
• 通用目录（ common_directories ）。
• 通用文件（ common_files ）。
• http put（ http_put ）。
• 密码表格的传输层保护不足（ unencrypted_password_form ）。
• WebDAV检测（ webdav ）。
• HTTP跟踪检测（ xst ）。
• 信用卡号披露（ credit_card ）。
• CVS/SVN用户披露（ cvs_svn_users ）。
• 私人IP地址披露（ private_ip ）。
• 常见的后门（ backdoors ）。
• htaccess_limit
• 有趣的响应（ interesting_responses ）。
• html对象grepper（ html_objects ）。
• 电子邮件地址披露（ emails ）。
• 美国社会保险号披露（ ssn ）。
• 有力目录列表（ directory_listing ）。
• 混合资源/脚本（ mixed_resource ）。
• 不安全的cookie（ insecure_cookies ）。
• httponly cookies（ http_only_cookies ）。
• 自动完成密码表单字段（ password_autocomplete ）。
• Origin Spoof访问限制旁路（ origin_spoof_access_restriction_bypass ）
• 基于表单的上传（ form_upload ）
• localstart.asp（ localstart_asp ）
• cookie设置为父域（ cookie_set_for_parent_domain ）
• 缺少HTTPS站点（ hsts ）的Strict-Transport-Security标头。
• 缺少X-Frame-Options标题（ x_frame_options ）。
• INSEACURE CORS策略（ insecure_cors_policy ）。
• Insecure跨域策略（允许 - access-from）（ insecure_cross_domain_policy_access ）
• 不安全的跨域策略（允许http-request-headers-from）（ insecure_cross_domain_policy_headers ）
• INSECURE客户端访问策略（ insecure_client_access_policy ）

• 标准输出
• HTML（ZIP）（ html ）。
• XML（ xml ）。
• 文字（ text ）。
• JSON（ json ）
• 元帅（ marshal ）
• yaml（ yaml ）
• AFR（ afr ）
  • 默认的Arachni框架报告格式。

插件以模块化的方式为系统添加了额外的功能，这样，核心保持精益，并使任何人都可以添加任意功能。

• 被动代理（ proxy ） - 分析Web应用程序与浏览器之间的请求和响应，以协助AJAX审核，登录和/或限制审计范围。
• 基于表格的登录（ autologin ）。
• 基于脚本的登录（ login_script ）。
• HTTP Auth（ http_dicattack ）的字典攻击者。
• 基于表格的身份验证（ form_dicattack ）的字典攻击者。
• cookie collector（ cookie_collector ） - 在建立更改时间表的同时，跟踪cookie。
• WAF（Web应用程序防火墙）检测器（ waf_detector ） - 建立正常行为的基准，并使用RDIFF分析来确定恶意输入是否会导致任何行为变化。
• beepnotify（ beep_notify ） - 扫描完成时发出哔哔声。
• emailNotify（ email_notify ） - 在扫描结束时通过SMTP发送通知（以及可选的报告）。
• vectorfeed（ vector_feed ） - 在向量数据中读取其创建要审核的元素。可用于根据矢量/元素进行极度专业/狭窄的审核。用于单位测试或其他事项。
• 脚本（ script ） - 在插件的范围下加载并运行外部红宝石脚本，用于调试和一般黑客。
• 罕见的标题（ uncommon_headers ） - 日志不常见的标题。
• content-types（ content_types ） - 日志辅助识别有趣（可能泄漏）文件的服务器响应的内容类型。
• 向量收集器（ vector_collector ） - 收集有关扫描范围内所有看到的输入向量的信息。
• 标头收集器（ headers_collector ） - 根据指定标准收集响应标题。
• exec（ exec ） - 在不同的扫描阶段调用外部可执行文件。
• 指标（ metrics ） - 捕获有关扫描和Web应用程序多个方面的指标。
• 限制到DOM状态（ restrict_to_dom_state ） - 根据URL片段将审核限制为单页的DOM状态。
• Webhook Notify（ webhook_notify ） - 在扫描结束时通过HTTP发送Webhook有效载荷。
• 费率限制器（ rate_limiter ） - 费率限制HTTP请求。
• 页面转储（ page_dump ） - 将页面数据作为yaml磁盘。

默认插件将对每次扫描进行运行，并将其放置在/plugins/defaults/下。

• Autothrottle（ autothrottle ） - 在扫描过程中动态调整HTTP吞吐量以最大程度地带宽利用率。
• HealthMap（ healthmap ） - 生成站点地图，显示每个爬行/审计URL的健康状况

插件在/plugins/defaults/meta/执行扫描结果中的分析，以确定可信度或仅添加上下文信息或一般见解。

• TimingAttacks（ timing_attacks ） - 当受影响的审计页面返回异常高的响应时间时，通过计时攻击发现的问题提供了通知。它还指出了DOS攻击对执行重型处理的页面的危险。
• 发现（ discovery ） - 在适用的情况下发现误报的可能性，在发现的问题上执行异常检测。
• 统一性（ uniformity ） - 在许多页面上非常脆弱的报告，这些输入暗示缺乏输入消毒的中心点。

培训师使Arachni可以从执行的扫描中学习，并在审计期间即时合并知识。

检查能够分别强迫框架从他们要诱发的HTTP响应中学习。

但是，这通常不是必需的，因为Arachni知道哪些要求更有可能发现新元素或攻击向量，并且会相应地适应自身。

尽管如此，这可能是模糊检查的宝贵资产。

您可以运行rake spec以运行所有规格，也可以使用以下内容选择性地运行它们：

 rake spec:core            # for the core libraries
rake spec:checks          # for the checks
rake spec:plugins         # for the plugins
rake spec:reports         # for the reports
rake spec:path_extractors # for the path extractors

请警告，由于必须测试系统的网格/多实体功能，因此核心规格将需要机器的野兽。

注意：由于定时攻击测试，支票规格将需要数小时才能完成。

使用GitHub问题提交错误，并通过支持门户获得支持。

（在开始任何工作之前，请阅读有关使用源代码的说明。）

我们很乐意接受其他代码莫奈基人的帮助，这些是您需要遵循的步骤才能贡献代码：

• 分叉项目。
• 基于实验分支（ git checkout -b <feature-name> experimental ）启动特征分支。
• 为您的代码添加规格。
• 运行规格套件以确保您没有破坏任何东西（ rake spec:core Core Libs或rake spec的核心）。
• 提交并推动您的改变。
• 发出拉动请求并等待您的代码进行审查。

Arachni公共源许可证v1.0-请参阅许可证文件以获取更多信息。