3. [Arachni Framework] Bugtraq
En términos muy simples, Arachni es una herramienta que permite evaluar la
seguridad de las aplicaciones web. En términos menos simples, Arachni es una
herramienta modular Open Source de alto rendimiento.
Es un sistema que comenzó como un ejercicio educativo y como medio para
realizar pruebas de seguridad específicas en contra de una aplicación web con el
fin de identificar, clasificar y registrar los temas de interés de seguridad.
Ahora se ha convertido en una infraestructura fiable que puede realizar cualquier
tipo de auditorias en aplicaciones web relacionada con la seguridad y el raspado
de datos generales.
22. [Arachni Framework] Bugtraq
DESCARGA Y USO:
Arachni se encuentra disponible tanto para Linux, Windows y Mac OSX y la descarga se
encuentra disponible desde su web oficial:
http://arachni-scanner.com/latest
Después de haber descargado los respectivos archivos, tenemos que descomprimir y
ejecutarlo en la consola desde su ubicación, ejemplo:
cd Desktop
cd arachni
cd bin
ls
./arachni_web
25. [Arachni Framework] Bugtraq
Primero tenemos que abrir otra terminal y dirigirnos a la carpeta
/arachni/bin/ para ejecutar el comando ./arachni_rpcd la cual nos permitirá
habilitar y realizar el escaneo con la IP de nuestro localhost, si lo estamos
ejecutando a través de una terminal y si no como se muestra en la siguiente
imagen de bugtraq
35. [Arachni Framework] Bugtraq
Posteriormente solo tendremos que ingresar la URL que deseamos auditar
en mi caso yo ingrese esta dirección
https://www.saes.esiatic.ipn.mx/
Ingresado la URL a la cual auditaremos, daremos clic en "Launch Scan", esta
nos redirigirá a otra interfaz donde se apreciara el trabajo que realiza la
herramienta, mostrando el Crawling, Auditoria de Servicios, Puertos,
Vulnerabilidades entre otros. El escaneo puede demorar dependiendo de los
módulos que hemos habilitado para cada escaneo, como también la velocidad de
nuestra conexión y memoria ram.
39. [Arachni Framework] Bugtraq
Al momento que la herramienta termina el trabajo de Escanear por completo el
servidor especificado, esta nos mostrara la opción "Reports" donde tendremos
opciones para apreciar los resultados en cualquier tipo de formato, las cuales
son:
Marshal Report
YAML Report
XML Report
HTML Report
Arachni Framework Report
Materport JSON
Report Text report
42. [Arachni Framework] Bugtraq
Si queremos apreciar los resultados en una forma Gráfica, seleccionamos la
opción HTML Report donde se mostrara las vulnerabilidades encontradas, la
cual se aprecia de la siguiente manera
47. [Arachni Framework] Bugtraq
A lado de Graps se encuentra la opción Issues, esta mostrara de una forma
textual las vulnerabilidades encontradas en el servidor, especificando el
nombre de la Vulnerabilidad y el Link Vulnerable.
49. [Arachni Framework] Bugtraq
Por ultimo tenemos una opción Trusted issues, la cual nos mostrara de una
forma totalmente detallada del modulo que se ha usado, la variable afectada
y la URL afectada (vulnerable), como también la descripción, una breve
solución a esta vulnerabilidad y las referencias de UnixWiz, Wikipedia,
SecuriTeam y OWASP con sus respectivos links de información.
51. [Arachni Framework] Bugtraq
Se puede decir que Arachni es algo parecido a Nessus, Retina y OpenVas,
pero como toda buena herramienta siempre tiene algo diferente que los
demás, por eso es muy recomendable utilizar Arachni en nuestras Pruebas
de Penetración para obtener resultados de una forma rápida y fácil..