Segurança de aplicações web com Arachni

Arachni é uma ferramenta para testes de segurança em aplicações. Trata-se de uma estrutura em Ruby modular e de alto desempenho, destinada a ajudar os testadores de penetração e os administradores a avaliar a segurança dos aplicativos da Web modernos.

É gratuito, com seu código fonte público e disponível para revisão.

É multi-plataforma, suportando todos os principais sistemas operacionais (MS Windows, Mac OS X e Linux) e distribuído através de pacotes portáteis que permitem a implantação instantânea.

Vamos aprender a executar esta ferramenta no Linux, logo a seguir:

Primeiramente baixe o Arachni no site oficial.

http://www.arachni-scanner.com/download/#linux

Depois que o pacote de instalação for baixado, copie-o para o diretório atual e extraia-o:

$ sudo cp Downloads/arachni-versao-linux-x86_64.tar.gz .

$ sudo tar xvf arachni-versao-linux-x86_64.tar.gz

Leia o arquivo README, pois existem duas contas: Administrator e User.

E-mail address: [email protected]
Password: administrator

E-mail address: [email protected]
Password: regular_user

Há duas maneiras diferentes de inicar o Arachni. Uma é via console e a outra via navegador web. Procure pelos seguintes arquivos e execute um dos dois pelo terminal:

$ ./arachni_web

$ ./arachni_console

Uma informação muito importante: Arachni só funciona via webbrowser quando é executado localmente (http://localhost:9292). Se quiser executá-lo por acesso remoto é necessário fazer um tunelamento em SSH para chamar o Xorg. Outra opção também seria instalar um servidor Web Apache para fazer um proxy pass, assim o servidor Apache faria o redirecionamento para o localhost da aplicação.

Procurar no blog: