Was ist Arachni?

Was ist Arachni?

Arachni ist ein kostenfreier Web-Security-Scanner, der auf dem Ruby Framework basiert. Die Software kann auf Windows, Mac und Linux Betriebssystemen installiert werden. Zu den Vorteilen der Applikation gehören die modulare Bauweise, gute Performance, einfache Bedienung und eine integrierte Browserumgebung. Entwickelt wird Arachni vom bulgarischen Programmierer Tasos Laskos, der zugleich Geschäftsführer der Sarosys LLC ist, die den Web-Scanner kostenlos vertreibt.

Ziele

Der Web-Security Scanner soll in erster Linie Systemadministratoren bei der Suche nach Sicherheitslücken unterstützen. Dies wird unter anderem durch einen umfassenden Penetrationstest erreicht. Eine Designvorgabe ist laut dem Entwickler, dass der fortschrittliche Scanner automatisch auf potenzielle Sicherheitslücken stößt und somit selbst für Einsteiger leicht zu bedienen ist. Zudem soll die Software nach jedem absolvierten Testvorgang aus den Ergebnissen lernen und eine Meta-Analyse vornehmen, um eigenständig die False-Positive-Rate zu verbessern. Der Quellcode ist frei zugänglich, was Webentwicklern die Möglichkeit gibt, die Software an die eigenen Bedürfnisse anzupassen. Das Programm besitzt eine modulare Bauweise, wodurch Entwickler eigene Module hinzufügen können. Dies ist insbesondere dann von Vorteil, wenn spezifische Seitenelemente in den Fokus rücken, die bei alternativen Scanverfahren ansonsten ausgelassen werden.

Funktionsweise

Über eine Kommandozeile wird der Test an der jeweiligen Webapplikation vorgenommen. Die Eingabe einer URL ist für den Test bereits ausreichend. Essenzielle Seitenelemente wie Links, Formulare, Cookies, XML, JSON und User Interface Eingaben werden genau unter die Lupe genommen. Immer wieder nutzen Hacker solche offenen Schnittstellen, um schädlichen Quellcode zu injizieren. Das verwendete Framework basiert auf der Programmiersprache Ruby. Da Arachni keine besondere Installation benötigt, kann schon direkt nach dem Entpacken mit einem einfachen Schnelltest begonnen werden. Dieser Test läuft automatisch ab und erstellt zum Abschluss ein Scanergebnis, das alle Faktoren noch einmal übersichtlich aufschlüsselt. Farblich unterlegte Kuchen- und Balkendiagramme zeigen die gefundenen Sicherheitslücken und deren Schweregrad an. Ausgegeben wird das Scanergebnis im eigenen Dateiformat *.afr. Über die Konsole ist eine Umwandlung in eine HTML-Datei möglich. Alle verfügbaren Parameter und Befehle können jederzeit in der Konsole mit dem Befehl ./arachni -h angezeigt werden. Außerdem lassen sich mit der Software Zeiträume festlegen, in denen automatisch ein Scan vorgenommen wird. Plugins erweitern die Funktionalität des Scanners auf Wunsch und gewährleisten, dass eine schlanke Basisoberfläche erhalten bleibt. Ein vollständiger Test läuft über den Zeitraum von mehreren Stunden. Dies ist notwendig, um die Möglichkeit von zeitbasierenden Attacken auszuschließen.

Features

Integrierte Browserumgebung

Arachni verfügt über eine moderne Browserumgebung, die die wichtigsten Bedürfnisse von heutigen Webapplikationen abdeckt. Die Umgebung nutzt Technologien wie HTML5, JavaScript, Ajax und DOM. Steuerungsprozesse in DOM und JavaScript-Umgebungen können mit Hilfe des Scanners zurückverfolgt werden. Beliebte JavaScript Frameworks wie AngularJS und JQuery erhalten zusätzliche Tracingoptionen. Laut Angaben des Entwicklers kann der Scanner so auch zum JavaScript-Debugger umfunktioniert werden.

Ausgezeichneter Crawler

Der Webscanner verfügt über einen sehr guten Crawler, der beim Coverage Benchmark von WIVETv3 auf dem ersten Platz gelandet ist. Nur WebInspect kommt auf eine gleich hohe Erkennungsrate von immerhin 96 Prozent. Die fortschrittliche Scansoftware ist somit in der Lage möglichst viele Seitenelemente aufzufinden, die eine Interaktion ermöglichen. Das minimiert die Chance von möglichen Sicherheitslücken. Lediglich der fehlende SWF-Support sorgt für entgangene Treffer bei der Erkennungsrate. Die hohe Trefferquote ist laut Entwickler auf das eigene Trainer Subsystem zurückzuführen. Nach jedem erfolgten Scan erstellt die Softwarelösung eine Meta-Analyse, um so das Tracking zusätzlich zu verbessern. Das ist ein Merkmal, das Arachni von anderen erhältlichen Web-Security-Scannern unterscheidet.

Abdeckung

Die moderne Entwicklungsumgebung erlaubt es dem Scanner selbst mit komplexen Webanwendungen zu interagieren. Etwa Anwendungen, die starken Gebrauch von Client-Side Code (wie zum Beispiel JavaScript) machen. Arachni nimmt insbesondere Seitenelemente unter die Lupe, die zu Sicherheitslücken neigen. Dazu gehören generell alle Elemente, die eine offene Interaktion mit Webseitenbesuchern ermöglichen. Etwa wenn der Nutzer eine Datei hochladen oder ein Formular ausfüllen kann. Mittels einer SQL-Injektion kann so zum Beispiel Schadcode in ein Formular eingegeben werden. Folgende Elemente werden einer genauen Untersuchung unterzogen:

– Einfache Webformulare
– User-Interface-Formulare
– User-Interface-Eingaben
– Links
– LinkTemplates
– Cookies
– Headers
– Client-Side Elemente mit zugehörigen DOM-Ereignissen
– AJAX-Request Parameter
– JSON-Requests
– XML-Requests

Intelligentes Scanverfahren

Arachni inkorporiert ein intelligentes Scanverfahren, das sich ganz nach der jeweiligen Webapplikation ausrichtet. Die Software analysiert gezielt die Webseite in Echtzeit und passt das Scanverfahren auf die jeweiligen Bedürfnisse an. Diese Methode verringert die Nutzlast, die auf den Server ausgewirkt wird und verbraucht weitaus weniger Bandbreite.

Hohe Performance

Die HTTP-Requests des Web-Security Scanners werden asynchron versendet. Das vermindert den gleichzeitigen Zugriff auf die Datenbank der jeweiligen Webseite und sorgt für eine schnellere Abwicklung des Scans. Die Browserumgebung ist außerdem für parallele JS/DOM Zugriffe optimiert worden. Um schnellere Prüfungen vornehmen zu können, erlaubt das Programm den Scan mehrerer Instanzen und Prozesse in Echtzeit.

Unterstützung mobiler Geräte

Der Scanner ist in der Lage mehrere Client-Plattformen zu emulieren. Dazu zählen Tablets und Smartphones. Ermöglicht wird dies über die User-Agent-Identifikationsschnitstelle. Der Viewport des Programms kann außerdem auf die Spezifikationen des Testgeräts eingestellt werden. Größe und Orientierung der zu testenden Bildschirmfläche können vorab im Programm eingestellt werden.

Vorteile und Nutzen

Sicherheitslücken sorgen immer wieder für große Schlagzeilen. Kein Unternehmen möchte leichtfertig Kundendaten aufs Spiel setzen. Arachni ist ein moderner Web-Security-Scanner, der kostenfrei als Open Source Programm angeboten wird. Bevor man das Programm einsetzt, kann man den offenen Quellcode einer Betrachtung unterziehen. So weiß man bereits vorab, auf welchen Grundklassen das Programm fußt und kann sich noch vor der Installation Gedanken darüber machen, ob man die Software erweitern muss oder nicht. Es gibt bereits eine große Anzahl von Plugins, die zusätzlich zum Scanner installiert werden können. Die Funktionalität von Arachni kann so jederzeit um benötigte Elemente erweitert werden. Aktive und passive Checks werden bei einem umfassenden Scan vorgenommen, der mehrere Stunden andauern kann. Arachni hat bei verschiedenen Benchmarks sehr hohe Werte erzielen können und besitzt insbesondere eine sehr hohe Crawler Coverage. Ein weiterer Vorteil der Software besteht darin, dass die zeitlichen Abläufe von Scans genau terminiert werden können. Das Einstellen regelmäßiger Scans ist somit kein Hindernis. Arachni stellt ein eigenes Support-Forum zur Verfügung, in welchem sich die Nutzer austauschen können. Die Einarbeitung wird mit Hilfe eines eigenen Wikis wesentlich erleichtert.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte