Was ist Arachni?
Inhaltsverzeichnis
Was ist Arachni?
Bedeutung
Arachni ist ein kostenfreier Web-Security-Scanner, der auf dem Ruby Framework basiert. Die Software kann auf Windows, Mac und Linux Betriebssystemen installiert werden. Zu den Vorteilen der Applikation gehören die modulare Bauweise, gute Performance, einfache Bedienung und eine integrierte Browserumgebung. Entwickelt wird Arachni vom bulgarischen Programmierer Tasos Laskos, der zugleich Geschäftsführer der Sarosys LLC ist, die den Web-Scanner kostenlos vertreibt.
Ziele
Der Web-Security Scanner soll in erster Linie Systemadministratoren bei der Suche nach Sicherheitslücken unterstützen. Dies wird unter anderem durch einen umfassenden Penetrationstest erreicht. Eine Designvorgabe ist laut dem Entwickler, dass der fortschrittliche Scanner automatisch auf potenzielle Sicherheitslücken stößt und somit selbst für Einsteiger leicht zu bedienen ist.
Zudem soll die Software nach jedem absolvierten Testvorgang aus den Ergebnissen lernen und eine Meta-Analyse vornehmen, um eigenständig die False-Positive-Rate zu verbessern. Der Quellcode ist frei zugänglich, was Webentwicklern die Möglichkeit gibt, die Software an die eigenen Bedürfnisse anzupassen. Das Programm besitzt eine modulare Bauweise, wodurch Entwickler eigene Module hinzufügen können. Dies ist insbesondere dann von Vorteil, wenn spezifische Seitenelemente in den Fokus rücken, die bei alternativen Scanverfahren ansonsten ausgelassen werden.
Funktionsweise
- Über eine Kommandozeile wird der Test an der jeweiligen Webapplikation vorgenommen. Die Eingabe einer URL ist für den Test bereits ausreichend. Essenzielle Seitenelemente wie Links, Formulare, Cookies, XML, JSON und User Interface Eingaben werden genau unter die Lupe genommen.
- Immer wieder nutzen Hacker solche offenen Schnittstellen, um schädlichen Quellcode zu injizieren. Das verwendete Framework basiert auf der Programmiersprache Ruby.
- Da Arachni keine besondere Installation benötigt, kann schon direkt nach dem Entpacken mit einem einfachen Schnelltest begonnen werden. Dieser Test läuft automatisch ab und erstellt zum Abschluss ein Scanergebnis, das alle Faktoren noch einmal übersichtlich aufschlüsselt.
- Farblich unterlegte Kuchen- und Balkendiagramme zeigen die gefundenen Sicherheitslücken und deren Schweregrad an. Ausgegeben wird das Scanergebnis im eigenen Dateiformat *.afr.
- Über die Konsole ist eine Umwandlung in eine HTML-Datei möglich.
- Alle verfügbaren Parameter und Befehle können jederzeit in der Konsole mit dem Befehl ./arachni -h angezeigt werden.
- Außerdem lassen sich mit der Software Zeiträume festlegen, in denen automatisch ein Scan vorgenommen wird.
- Plugins erweitern die Funktionalität des Scanners auf Wunsch und gewährleisten, dass eine schlanke Basisoberfläche erhalten bleibt.
- Ein vollständiger Test läuft über den Zeitraum von mehreren Stunden. Dies ist notwendig, um die Möglichkeit von zeitbasierenden Attacken auszuschließen.
Features
- Einfache Webformulare
- User-Interface-Formulare
- User-Interface-Eingaben
- Links
- LinkTemplates
- Cookies
- Headers
- Client-Side Elemente mit zugehörigen DOM-Ereignissen
- AJAX-Request Parameter
- JSON-Requests
- XML-Requests
Vorteile und Nutzen
Sicherheitslücken sorgen immer wieder für große Schlagzeilen. Kein Unternehmen möchte leichtfertig Kundendaten aufs Spiel setzen. Arachni ist ein moderner Web-Security-Scanner, der kostenfrei als Open Source Programm angeboten wird. Bevor man das Programm einsetzt, kann man den offenen Quellcode einer Betrachtung unterziehen.
So weiß man bereits vorab, auf welchen Grundklassen das Programm fußt und kann sich noch vor der Installation Gedanken darüber machen, ob man die Software erweitern muss oder nicht. Es gibt bereits eine große Anzahl von Plugins, die zusätzlich zum Scanner installiert werden können. Die Funktionalität von Arachni kann so jederzeit um benötigte Elemente erweitert werden. Aktive und passive Checks werden bei einem umfassenden Scan vorgenommen, der mehrere Stunden andauern kann.
Arachni hat bei verschiedenen Benchmarks sehr hohe Werte erzielen können und besitzt insbesondere eine sehr hohe Crawler Coverage. Ein weiterer Vorteil der Software besteht darin, dass die zeitlichen Abläufe von Scans genau terminiert werden können. Das Einstellen regelmäßiger Scans ist somit kein Hindernis. Arachni stellt ein eigenes Support-Forum zur Verfügung, in welchem sich die Nutzer austauschen können. Die Einarbeitung wird mit Hilfe eines eigenen Wikis wesentlich erleichtert.
Sie haben noch Fragen?