Was ist Arachni?

Was ist Arachni?

Copyright ┬ę Shutterstock / Black Salmon

Arachni ist ein kostenfreier Web-Security-Scanner, der auf dem Ruby Framework basiert. Die Software kann auf Windows, Mac und Linux Betriebssystemen installiert werden. Zu den Vorteilen der Applikation geh├Âren die modulare Bauweise, gute Performance, einfache Bedienung und eine integrierte Browserumgebung. Entwickelt wird Arachni vom bulgarischen Programmierer Tasos Laskos, der zugleich Gesch├Ąftsf├╝hrer der Sarosys LLC ist, die den Web-Scanner kostenlos vertreibt.

Ziele

Der Web-Security Scanner soll in erster Linie Systemadministratoren bei der Suche nach Sicherheitsl├╝cken unterst├╝tzen. Dies wird unter anderem durch einen umfassenden Penetrationstest erreicht. Eine Designvorgabe ist laut dem Entwickler, dass der fortschrittliche Scanner automatisch auf potenzielle Sicherheitsl├╝cken st├Â├čt und somit selbst f├╝r Einsteiger leicht zu bedienen ist. Zudem soll die Software nach jedem absolvierten Testvorgang aus den Ergebnissen lernen und eine Meta-Analyse vornehmen, um eigenst├Ąndig die False-Positive-Rate zu verbessern. Der Quellcode ist frei zug├Ąnglich, was Webentwicklern die M├Âglichkeit gibt, die Software an die eigenen Bed├╝rfnisse anzupassen. Das Programm besitzt eine modulare Bauweise, wodurch Entwickler eigene Module hinzuf├╝gen k├Ânnen. Dies ist insbesondere dann von Vorteil, wenn spezifische Seitenelemente in den Fokus r├╝cken, die bei alternativen Scanverfahren ansonsten ausgelassen werden.

Funktionsweise

  1. ├ťber eine Kommandozeile wird der Test an der jeweiligen Webapplikation vorgenommen. Die Eingabe einer URL ist f├╝r den Test bereits ausreichend. Essenzielle Seitenelemente wie Links, Formulare, Cookies, XML, JSON und User Interface Eingaben werden genau unter die Lupe genommen.
  2. Immer wieder nutzen Hacker solche offenen Schnittstellen, um sch├Ądlichen Quellcode zu injizieren. Das verwendete Framework basiert auf der Programmiersprache Ruby.
  3. Da Arachni keine besondere Installation ben├Âtigt, kann schon direkt nach dem Entpacken mit einem einfachen Schnelltest begonnen werden. Dieser Test l├Ąuft automatisch ab und erstellt zum Abschluss ein Scanergebnis, das alle Faktoren noch einmal ├╝bersichtlich aufschl├╝sselt.
  4. Farblich unterlegte Kuchen- und Balkendiagramme zeigen die gefundenen Sicherheitsl├╝cken und deren Schweregrad an. Ausgegeben wird das Scanergebnis im eigenen Dateiformat *.afr.
  5. ├ťber die Konsole ist eine Umwandlung in eine HTML-Datei m├Âglich.
  6. Alle verf├╝gbaren Parameter und Befehle k├Ânnen jederzeit in der Konsole mit dem Befehl ./arachni -h angezeigt werden.
  7. Au├čerdem lassen sich mit der Software Zeitr├Ąume festlegen, in denen automatisch ein Scan vorgenommen wird.
  8. Plugins erweitern die Funktionalit├Ąt des Scanners auf Wunsch und gew├Ąhrleisten, dass eine schlanke Basisoberfl├Ąche erhalten bleibt.
  9. Ein vollst├Ąndiger Test l├Ąuft ├╝ber den Zeitraum von mehreren Stunden. Dies ist notwendig, um die M├Âglichkeit von zeitbasierenden Attacken auszuschlie├čen.

Features

Arachni verf├╝gt ├╝ber eine moderne Browserumgebung, die die wichtigsten Bed├╝rfnisse von heutigen Webapplikationen abdeckt. Die Umgebung nutzt Technologien wie HTML5, JavaScript, Ajax und DOM. Steuerungsprozesse in DOM und JavaScript-Umgebungen k├Ânnen mit Hilfe des Scanners zur├╝ckverfolgt werden. Beliebte JavaScript Frameworks wie AngularJS und JQuery erhalten zus├Ątzliche Tracingoptionen. Laut Angaben des Entwicklers kann der Scanner so auch zum JavaScript-Debugger umfunktioniert werden.
Der Webscanner verf├╝gt ├╝ber einen sehr guten Crawler, der beim Coverage Benchmark von WIVETv3 auf dem ersten Platz gelandet ist. Nur WebInspect kommt auf eine gleich hohe Erkennungsrate von immerhin 96 Prozent. Die fortschrittliche Scansoftware ist somit in der Lage m├Âglichst viele Seitenelemente aufzufinden, die eine Interaktion erm├Âglichen. Das minimiert die Chance von m├Âglichen Sicherheitsl├╝cken. Lediglich der fehlende SWF-Support sorgt f├╝r entgangene Treffer bei der Erkennungsrate. Die hohe Trefferquote ist laut Entwickler auf das eigene Trainer Subsystem zur├╝ckzuf├╝hren. Nach jedem erfolgten Scan erstellt die Softwarel├Âsung eine Meta-Analyse, um so das Tracking zus├Ątzlich zu verbessern. Das ist ein Merkmal, das Arachni von anderen erh├Ąltlichen Web-Security-Scannern unterscheidet.
Die moderne Entwicklungsumgebung erlaubt es dem Scanner selbst mit komplexen Webanwendungen zu interagieren. Etwa Anwendungen, die starken Gebrauch von Client-Side Code (wie zum Beispiel JavaScript) machen. Arachni nimmt insbesondere Seitenelemente unter die Lupe, die zu Sicherheitsl├╝cken neigen. Dazu geh├Âren generell alle Elemente, die eine offene Interaktion mit Webseitenbesuchern erm├Âglichen. Etwa wenn der Nutzer eine Datei hochladen oder ein Formular ausf├╝llen kann. Mittels einer SQL-Injektion kann so zum Beispiel Schadcode in ein Formular eingegeben werden. Folgende Elemente werden einer genauen Untersuchung unterzogen:

  • Einfache Webformulare
  • User-Interface-Formulare
  • User-Interface-Eingaben
  • Links
  • LinkTemplates
  • Cookies
  • Headers
  • Client-Side Elemente mit zugeh├Ârigen DOM-Ereignissen
  • AJAX-Request Parameter
  • JSON-Requests
  • XML-Requests
Arachni inkorporiert ein intelligentes Scanverfahren, das sich ganz nach der jeweiligen Webapplikation ausrichtet. Die Software analysiert gezielt die Webseite in Echtzeit und passt das Scanverfahren auf die jeweiligen Bed├╝rfnisse an. Diese Methode verringert die Nutzlast, die auf den Server ausgewirkt wird und verbraucht weitaus weniger Bandbreite.
Die HTTP-Requests des Web-Security Scanners werden asynchron versendet. Das vermindert den gleichzeitigen Zugriff auf die Datenbank der jeweiligen Webseite und sorgt f├╝r eine schnellere Abwicklung des Scans. Die Browserumgebung ist au├čerdem f├╝r parallele JS/DOM Zugriffe optimiert worden. Um schnellere Pr├╝fungen vornehmen zu k├Ânnen, erlaubt das Programm den Scan mehrerer Instanzen und Prozesse in Echtzeit.
Der Scanner ist in der Lage mehrere Client-Plattformen zu emulieren. Dazu z├Ąhlen Tablets und Smartphones. Erm├Âglicht wird dies ├╝ber die User-Agent-Identifikationsschnitstelle. Der Viewport des Programms kann au├čerdem auf die Spezifikationen des Testger├Ąts eingestellt werden. Gr├Â├če und Orientierung der zu testenden Bildschirmfl├Ąche k├Ânnen vorab im Programm eingestellt werden.

Vorteile und Nutzen

Sicherheitsl├╝cken sorgen immer wieder f├╝r gro├če Schlagzeilen. Kein Unternehmen m├Âchte leichtfertig Kundendaten aufs Spiel setzen. Arachni ist ein moderner Web-Security-Scanner, der kostenfrei als Open Source Programm angeboten wird. Bevor man das Programm einsetzt, kann man den offenen Quellcode einer Betrachtung unterziehen. So wei├č man bereits vorab, auf welchen Grundklassen das Programm fu├čt und kann sich noch vor der Installation Gedanken dar├╝ber machen, ob man die Software erweitern muss oder nicht. Es gibt bereits eine gro├če Anzahl von Plugins, die zus├Ątzlich zum Scanner installiert werden k├Ânnen. Die Funktionalit├Ąt von Arachni kann so jederzeit um ben├Âtigte Elemente erweitert werden. Aktive und passive Checks werden bei einem umfassenden Scan vorgenommen, der mehrere Stunden andauern kann. Arachni hat bei verschiedenen Benchmarks sehr hohe Werte erzielen k├Ânnen und besitzt insbesondere eine sehr hohe Crawler Coverage. Ein weiterer Vorteil der Software besteht darin, dass die zeitlichen Abl├Ąufe von Scans genau terminiert werden k├Ânnen. Das Einstellen regelm├Ą├čiger Scans ist somit kein Hindernis. Arachni stellt ein eigenes Support-Forum zur Verf├╝gung, in welchem sich die Nutzer austauschen k├Ânnen. Die Einarbeitung wird mit Hilfe eines eigenen Wikis wesentlich erleichtert.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte