Examen et alternatives d’Arachni
Arachne est gratuit à utiliser. Il s'agit d'un scanner de sécurité automatisé pour les applications Web et il peut être utilisé pour des tests d'intrusion ou des tests de développement. Cet outil existe depuis dix ans. Cependant, son développement a été lent et n’est probablement pas la meilleure option si vous recherchez un système de gestion des vulnérabilités pour le compte d’une entreprise. Actifs Web .
Cette revue en saura plus sur Arachni, comment l’utiliser et quelles alternatives sont disponibles.
L'histoire d'Arachni
L'histoire d'Arachni commence avec Tasos Laskos . Il a étudié une maîtrise en cybersécurité au Royal Holloway College de l'Université de Londres et, dans le cadre de sa thèse pour ce cours, a écrit Arachni. Le système a bien fonctionné, alors Laskos a décidé de mettre son outil à la disposition de la communauté plus large en plaçant le code sur GitHub et en en faisant un projet open source.
Au fil des années, Laskos a eu du mal à faire remarquer Arachni et il a créé Sarosys LLC pour commercialiser le produit et aider à financer le projet. En tant qu'unique développeur d'Arachni, Laskos a eu du mal à consacrer suffisamment de temps à son développement. La dernière mise à jour du système a été publiée en 2017 avec version 1.5.1 .
En janvier 2020, Laskos a annoncé sur le Site Web d'Arachni que Arachni n'est plus entretenu . Il semblait qu'il avait finalement abandonné son projet. En juin 2021, il a publié une nouvelle annonce sur laquelle il travaille actuellement. un remplaçant pour Arachni .
Mise à jour janvier 2022: Tasos Laskos nous informe qu'il a désormais développement et support repris pour Arachni.
Options de déploiement d'Arachni
Même si après avoir lu qu'Arachni a été abandonné, vous pourriez être tenté de vous précipiter directement vers la section Alternatives, et cela vaut le détour.
Arachni a une interface de ligne de commande et aussi vers l'interface graphique Web . Le package est disponible pour Linux (32 bits et 64 bits), macOS (64 bits) et Windows (64 bits). Le Arachni Télécharger La page recommande les versions Linux et macOS plutôt que l'implémentation Windows.
L'hôte a besoin d'au moins 2 Go de RAM disponible et de 10 Go d'espace disque disponible.
Le fichier de téléchargement du système est un exécutable qui décompressera le code et l'installera en tant que sous-répertoire de l'endroit où vous avez téléchargé le package. Par exemple, si vous l'avez téléchargé dans le dossier Téléchargements sous Windows, l'ensemble du système sera configuré sous ce répertoire. L'arborescence des codes sera dans le sous-répertoire arachni-1.5.1-0.5.12-windows-x86_64 .
Utiliser Arachni
Le système Arachni est mis en œuvre sous la forme d'une série de fichiers de commandes . L'initialisation d'une analyse totale d'un actif Web lance tous les fichiers batch dans l'ordre, chacun exécutant un vecteur de test différent. Il s'agit d'une série de tentatives de tests d'intrusion couvrant une gamme complète d'exploits, notamment les attaques HTTP GET, l'injection SQL, l'injection de code, les scripts intersites, etc. Il y a au total 40 modules qui fournissent un ensemble de contrôles passifs et de tentatives actives. Chaque module passera par de nombreuses permutations d'entrées possibles pour tester son sujet d'enquête particulier. Tout ce travail peut il faut beaucoup de temps pour courir .
L'exécution du système à partir de la ligne de commande entraîne l'affichage d'un rapport textuel à l'écran.
Ce rapport est également enregistré dans un fichier AFR . Il s'agit d'un format binaire natif – AFR signifie Arachni Framework Report. Le fichier peut être converti en différents formats, tels que XML, texte brut et HTML.
L'autre méthode d'accès au scanner consiste à utiliser son Interface graphique basée sur le Web . Malheureusement, cela n'est pas très bien documenté dans le Wiki du système, et j'ai failli abandonner. Cependant, si vous savez comment le lancer, votre évaluation d’Arachni s’améliorera de façon exponentielle.
Pour faire fonctionner l'interface graphique, vous devez ouvrir une fenêtre d'invite de commande, accéder au répertoire personnel d'Arachni sur votre ordinateur et saisir binarachni_web . Vous verrez un message vous indiquant que l'écouteur fonctionne sur hôte local :
Cela mène à la page de lancement du scanner, qui vous offre une gamme d'options. J'ai laissé toutes les valeurs par défaut pour un test et spécifié un Direct mode scan du site Web d'Arachni à l'adresse https://arachni-scanner.com .
Au fur et à mesure que le test progresse, un flux de messages de commentaires passera dans la fenêtre d'invite de commande :
L'interface Web donne un rapport d'avancement en direct :
La partie inférieure du rapport d'analyse indique le nombre de problèmes rencontrés par type. En cliquant sur une catégorie, vous obtenez une explication du genre.
Bien que la création des résultats d'analyse au format AFR soit un choix obscur, l'utilitaire arachni_reporter peut convertir ce rapport au format HTML. Les résultats sont impressionnants. Voici les résultats produits par une analyse du arachni-scanner.com site.
L’onglet avant du rapport affiche des graphiques interactifs basés sur les résultats du scanner.
Un onglet Problèmes affiche chacune des vulnérabilités identifiées.
De plus amples détails sur chaque problème peuvent être trouvés en cliquant sur la ligne dans le Problèmes rapport. Le système explique également l'erreur et une description de l'exploit telle que donnée par OWASP.
Dans l’ensemble, le système de reporting d’Arachni est impressionnant.
Forces et faiblesses de l'Arachni
Arachni est difficile à connaître car le guide Wiki n'est pas très complet. Cependant, une fois que vous parvenez à découvrir le système et à connaître sa structure de fonctionnement, vous devriez trouver un service impressionnant.
Il y a plusieurs bons et mauvais points à noter à propos d’Arachni.
Avantages:
- Progresse à travers tous les tests critiques du Top 10 OWASP
- Il possède à la fois une interface de ligne de commande et une interface graphique basée sur un navigateur.
- Offre une gamme de modes de test
- Résultat de rapport impressionnant avec des explications perspicaces
Les inconvénients:
- Il n'a pas été mis à jour depuis 2017
- Pas de support
- Le projet a été abandonné
- Il faut beaucoup de temps pour courir
Arachni est une série d'exercices de tests d'intrusion implémentés sous forme de fichiers batch et regroupés en une seule chaîne qui peut être lancée avec une seule commande. Cependant, un scanner de vulnérabilités n’est précisément que cela : une session automatisée de test d’intrusion.
Ce système a été développé comme projet étudiant par une seule personne et promettait d'être un commercialement viable outil. Le développeur a consacré beaucoup de travail à ce package et, contrairement à de nombreux systèmes créés par des passionnés, il fonctionne et ne présente aucun bug. De nombreux patrimoines outils de test d'intrusion et les outils d’analyse des vulnérabilités d’un âge similaire à celui d’Arachni ne fonctionnent plus ou ont été rendus obsolètes par les progrès technologiques. Arachni ne rentre pas dans cette catégorie – ça fonctionne encore, et ses résultats sont révélateurs.
Il est dommage que Tasos Laskos n’ait pas réussi à constituer une équipe et un cadre de projet approprié pour maintenir Arachni en vie. Sans aucun doute, compte tenu de tout le travail qu'il a accompli pour créer cet excellent outil, il s'est senti sous-estimé et vaincu par l'énorme effort qu'il faut de nos jours pour qu'un produit se fasse remarquer sur le marché.
En espérant que le remplaçant d’Arachni par Laskos prenne son envol.
Alternatives à Arachni
Arachni est un outil fascinant et intéresserait particulièrement les étudiants d’InfoSec et les testeurs d’écriture stagiaires. Cependant, le projet a été abandonné signifie qu’il ne peut pas être considéré comme un candidat viable pour une utilisation dans un environnement commercial. Donc, si vous recherchez un outil pour effectuer une analyse de vulnérabilité ou des tests de production d'applications Web en cours de développement, vous devez continuer à chercher.
Notre méthodologie de sélection d’une alternative à Arachni
Nous avons examiné le marché des gestionnaires de vulnérabilités et des testeurs d'applications Web comme Arachni et évalué les options en fonction des critères suivants :
- Un package auto-installable
- Un système facile à utiliser qui offre une interface graphique
- Un service qui recherche automatiquement les exploits des applications Web, en particulier le Top 10 OWASP
- Un service qui peut être utilisé par les administrateurs système qui ne sont pas des spécialistes en cybersécurité
- Un outil qui peut être appliqué aux tests de développement ainsi qu'à l'analyse des vulnérabilités
- Un outil gratuit ou un système proposant un essai gratuit ou une démo pour évaluation
- Un service de qualité commerciale entièrement pris en charge et fréquemment mis à jour pour que l'outil reste pertinent et rentable
En gardant ces critères de sélection à l’esprit, nous avons dressé une liste d’excellents testeurs de sécurité d’applications et scanners de vulnérabilités qui correspondent aux fonctionnalités d’Arachni tout en fournissant également une assistance professionnelle.
Voici notre liste des cinq meilleures alternatives à Arachni :
- Invincible (ACCÈS DÉMO GRATUIT) Ce service peut fonctionner comme un scanner de vulnérabilités et également comme environnement de test de développement. Les options de cet outil permettent une analyse à la demande ou vous pouvez configurer un calendrier. Invicti teste spécifiquement les applications Web et peut être configuré pour s'exécuter en continu pour les équipes de développement d'applications Web. Le service analyse le code et exécute des éléments interactifs. La stratégie Invicti recherche les erreurs logiques susceptibles d'exposer des données ou de fournir des points d'entrée aux pirates. Il s’agit d’un service hautement professionnel assuré 24 heures sur 24. Invicti est une plateforme SaaS, mais il est également possible d'obtenir le package pour l'installer sur les fenêtres et Serveur Windows . Accédez à un système de démonstration pour évaluer les invaincus
- Acunetix (ACCÈS DÉMO GRATUIT) Il s'agit d'un autre service qui peut être utilisé comme gestionnaire de vulnérabilités ou des tests continus dans un environnement de développement. Trois éditions adaptent le déploiement de ce système. L'outil propose une analyse des applications Web pour plus de 7 000 vulnérabilités, et il existe également une option d'analyse des vulnérabilités réseau qui comporte une liste de 50 000 faiblesses à rechercher. Acunetix est disponible sous forme de SaaS plate-forme ou pour installation sur les fenêtres , macOS , ou Linux . Quelle que soit la formule que vous choisissez, les services d'un Help Desk 24h/24 sont inclus dans le prix. Accédez à un système de démonstration pour découvrir Acunetix.
- Détecter l'analyse approfondie Il s'agit d'un système de test automatisé qui a été assemblé par une équipe de hackers éthiques . À bien des égards, cette histoire reflète celle d’Arachni, qu’un hacker au chapeau blanc a créé en formation. L'équipe Detectify acquiert une expérience plus incroyable liste des exploits que la plupart des scanners en offrant une commission aux chercheurs indépendants si leurs découvertes d'exploits sont ajoutées à la base de données de vulnérabilités de ce scanner. Détecter peut être utilisé pour tests de développement ou analyse des vulnérabilités . Dans les deux cas, il s'intéresse aux applications Web. Détecter est disponible pour un essai de deux semaines .
- Analyse dynamique Veracode C'est un test du système d'application dynamique (DAST) qui peut être utilisé dans un pipeline CI/CD, offrant des tests continus ou agissant comme un scanner de vulnérabilités pour les systèmes en direct. Le service de numérisation de base est simple à utiliser. L'outil est hébergé et fourni sous forme une plateforme SaaS, vous n’avez donc pas besoin d’installer de logiciel. Il vous suffit de saisir l'URL d'un actif Web dans le tableau de bord et de lancer l'analyse. Les tests peuvent être étendus et personnalisés grâce à un langage de script intégré. Veracode Dynamic Analysis peut être intégré à des outils de suivi des problèmes et à des outils de gestion de projet pour automatiser workflows de résolution. Le service peut être évalué en accédant à son système de démonstration .
- Syxsense sécurisé Cet ensemble de renforcement du système comprend un gestionnaire de vulnérabilités , un service de détection et de réponse des points finaux (EDR), un scanner de ports, un gestionnaire de correctifs et un gestionnaire de configuration. L'EDR s'installe sur les points de terminaison en cours d'exécution les fenêtres , macOS , et Linux . Cet outil agit également comme agent pour les autres systèmes du package, qui sont tous résidents du cloud. Vous accédez à ce service via son Portail SaaS . Le pack comprend également un espace de stockage cloud pour les installateurs de correctifs et les fichiers journaux. Syxsense Secure est disponible pour un essai gratuit de 14 jours .