Webanwendungen mit Arachni prüfen

Arachni ist ein Werkzeug mit dem man automatisierte Security Scans für Web Anwendungen durchführen kann. Möchte man eine Web Seite testen geht das ziemlich einfach. Die Schwierigkeit besteht eher in der Analyse der Ergebnisse.

Die Installation ist einfach. Einfach laden und starten :-)

wget http://downloads.arachni-scanner.com/arachni-0.4.1.3-linux-i386.tar.gz
tar xzvf arachni-0.4.1.3-linux-i386.tar.gz
cd arachni-0.4.1.3
arachni -fv http://server.domain.tld --report=afr:outfile=ergebnis.afr

Der Versuchung eines soch einfachen Starts sollte man aber widerstehen den so ein Run kann nach Komplexität der Anwendung Tage dauern. Lieber sollte man sich genau überlegen welche Tests man durchführen sollte und welche URLs man vielleicht nicht testen möchte. Diese kann man in der Kommandozeile durch Exclude Angaben ausschliessen. z.B.

./arachni http://server.domain.tld --report=afr:outfile=ergebnis.afr --modules=*,-WebDav,-common_directories,-backup_files,-ssn,-mixed_resource,-private_ip,-unencrypted_password_forms,-credit_card,-backdoors,-ldapi --user-agent="" --exclude=URL1* --exclude=URL2*

Dann kann es immer noch 2 Tage dauern. Das Ergebniss kann man sich dann in einen schönen HTML Report umwandeln

./arachni --repload=ergebnis.afr --report=html:outfile=/var/www/dev-server/html/ar/ar.html

201302-arachnis.png