Arachni, Web Scanner

Existen multitud de aplicaciones para revisar la seguridad de una página web. Las pruebas las puedes realizar de manera manual o bien las puedes lanzar una aplicación que lance unos testeos sobre la aplicación, cabe decir que lanzar una de estas herramientas no garantiza que se hayan probado todas las vulnerabilidades.

arachni

Hoy os traigo una aplicación que se llama Arachni y que me ha gustado mucho por el diseño que tiene y la configuración que le puedes hacer a la herramienta.

La herramienta la descargamos de aquí:

http://www.arachni-scanner.com/download/

La herramienta como digo le han cuidado la parte gráfica y tendremos un bonito espacio web desde el que podremos hacer las pruebas pertinentes.

Una vez que hayamos bajado arachni, lo iniciamos por consola para que levante el servidor web.

19

Como veis nos ha levantado un servidor web en local, accedemos para ver que nos encontramos.

9

Antes de iniciar Arachni, es recomendable que os leáis el README, pues ahí especifica el usuario y password de administrador para que podamos acceder a la aplicación.

Iniciamos sesión y lo primero es que creemos un usuario con el que poder trabajar.

2

Ya tenemos el usuario creado, accedemos con él y la aplicación ya podrá identificarnos.

3

Ahora que ya tenemos nuestro usuario lo que haremos será empezar un nuevo escaneo.

4

Aquí tenemos para seleccionar varias cosas, la web a la que lanzaremos el scaner, que profile escogeremos, por defecto viene XSS y SQL Injection.

Rellenamos los datos y lanzamos el scaner, nos irá mostrando los resultados.

6

Como veis es bastante bonito 😛

Una vez que acabe nos mostrará abajo los resultados y nos mostrará el CVE y todo 😀

7

Podemos configurar en la herramienta mas módulos de escaneo aquí tenemos la prueba.

8

Pero sin duda de lo que mas me ha gustado es el report generado.

 

-3 -D2 -D

Arachni, puede formar parte perfectamente entre tus herramientas de auditoría mas usadas.

Más Información:


Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • BladeH

    Me gusto mucho el reporte queda, por eso la voy a bajar la herramienta.

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES