Arachni Framework
316 views
51 slides
May 25, 2016
Slide 1 of 51
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
About This Presentation
Arachni Framework
Slide Content
[Arachni Framework] Una forma diferente de Escanear y Auditar Servidores Web [Arachni Framework ] Bugtraq Sesion 3
[Arachni Framework] Bugtraq Recordemos que un Framework es un esquema (un esqueleto, un patrón) para el desarrollo y/o implementación de una aplicación.
[Arachni Framework] Bugtraq En términos muy simples, Arachni es una herramienta que permite evaluar la seguridad de las aplicaciones web . En términos menos simples, Arachni es una herramienta modular Open Source de alto rendimiento . Es un sistema que comenzó como un ejercicio educativo y como medio para realizar pruebas de seguridad específicas en contra de una aplicación web con el fin de identificar, clasificar y registrar los temas de interés de seguridad. Ahora se ha convertido en una infraestructura fiable que puede realizar cualquier tipo de auditorias en aplicaciones web relacionada con la seguridad y el raspado de datos generales .
[Arachni Framework] Bugtraq MÓDULOS: Path_traversal http :// www.owasp.org/index.php/Path_Traversal Os_cmd_injection_timing / os_cmd_injection http :// www.owasp.org/index.php/OS_Command_Injection
[Arachni Framework] Bugtraq MÓDULOS: Response_splitting http :// www.owasp.org/index.php/HTTP_Response_Splitting Xpath http :// www.owasp.org/index.php/XPATH_Injection Xss / xss_event / xss_uri / xss_tag / xss_path https ://www.owasp.org/index.php/Cross-site_Scripting_(XSS )
[Arachni Framework] Bugtraq MÓDULOS: Code_injection / code_injection_timing https :// www.owasp.org/index.php/Code_Injection Sqli_blid_rdiff / sqli_blind_timing http :// www.owasp.org/index.php/Blind_SQL_Injection Rfi ( Remote File Inclusion ) http:// projects.webappsec.org/w/page/13246955/Remote%20File%20Inclusion
[Arachni Framework] Bugtraq MÓDULOS: Unvalidated_redirect http:// www.owasp.org/index.php/Top_10_2010-A10-Unvalidated_Redirects_and_Forwards Ldapi http :// www.owasp.org/index.php/LDAP_injection Csrf http ://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF ) Sqli http :// www.owasp.org/index.php/SQL_Injection
[Arachni Framework] Bugtraq MÓDULOS: Xst http :// www.owasp.org/index.php/Cross_Site_Tracing Unencrypted_password_forms http :// www.owasp.org/index.php/Top_10_2010-A9-Insufficient_Transport_Layer_Protection
[Arachni Framework] Bugtraq Como denoto a continuación
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq DESCARGA Y USO : Arachni se encuentra disponible tanto para Linux, Windows y Mac OSX y la descarga se encuentra disponible desde su web oficial: http :// arachni-scanner.com/latest Después de haber descargado los respectivos archivos, tenemos que descomprimir y ejecutarlo en la consola desde su ubicación, ejemplo: cd Desktop cd arachni cd bin ls ./ arachni_web
[Arachni Framework] Bugtraq O ya esta integrado en la suite de bugtraq como se muestra a continuación
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq Primero tenemos que abrir otra terminal y dirigirnos a la carpeta / arachni / bin / para ejecutar el comando ./ arachni_rpcd la cual nos permitirá habilitar y realizar el escaneo con la IP de nuestro localhost , si lo estamos ejecutando a través de una terminal y si no como se muestra en la siguiente imagen de bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq Posteriormente nos iremos si estamos en la suite de bugtraq a Arachni Web, como se muestra a continuación
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq Posteriormente nos iremos si estamos en la suite de bugtraq a Arachni Web Auto, como se muestra a continuación
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq Nota. Tendremos que agregar la instancia o dispatchers para poder iniciar nuestro escaneo
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq Posteriormente solo tendremos que ingresar la URL que deseamos auditar en mi caso yo ingrese esta dirección https://www.saes.esiatic.ipn.mx / Ingresado la URL a la cual auditaremos, daremos clic en " Launch Scan ", esta nos redirigirá a otra interfaz donde se apreciara el trabajo que realiza la herramienta, mostrando el Crawling , Auditoria de Servicios, Puertos, Vulnerabilidades entre otros. El escaneo puede demorar dependiendo de los módulos que hemos habilitado para cada escaneo, como también la velocidad de nuestra conexión y memoria ram .
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq Al momento que la herramienta termina el trabajo de Escanear por completo el servidor especificado, esta nos mostrara la opción " Reports " donde tendremos opciones para apreciar los resultados en cualquier tipo de formato, las cuales son : Marshal Report YAML Report XML Report HTML Report Arachni Framework Report Materport JSON Report Text report
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq Si queremos apreciar los resultados en una forma Gráfica, seleccionamos la opción HTML Report donde se mostrara las vulnerabilidades encontradas, la cual se aprecia de la siguiente manera
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq A lado de Graps se encuentra la opción Issues , esta mostrara de una forma textual las vulnerabilidades encontradas en el servidor, especificando el nombre de la Vulnerabilidad y el Link Vulnerable.
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq Por ultimo tenemos una opción Trusted issues , la cual nos mostrara de una forma totalmente detallada del modulo que se ha usado, la variable afectada y la URL afectada (vulnerable), como también la descripción, una breve solución a esta vulnerabilidad y las referencias de UnixWiz , Wikipedia, SecuriTeam y OWASP con sus respectivos links de información.
[Arachni Framework] Bugtraq
[Arachni Framework] Bugtraq Se puede decir que Arachni es algo parecido a Nessus , Retina y OpenVas , pero como toda buena herramienta siempre tiene algo diferente que los demás, por eso es muy recomendable utilizar Arachni en nuestras Pruebas de Penetración para obtener resultados de una forma rápida y fácil ..
Tags
Categories
TechnologyDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 316
- Slides 51
- Age 3478 days
Related Slideshows
11
8-top-ai-courses-for-customer-support-representatives-in-2025.pptx
JeroenErne2
47 views
10
7-essential-ai-courses-for-call-center-supervisors-in-2025.pptx
JeroenErne2
46 views
13
25-essential-ai-courses-for-user-support-specialists-in-2025.pptx
JeroenErne2
37 views
11
8-essential-ai-courses-for-insurance-customer-service-representatives-in-2025.pptx
JeroenErne2
34 views
21
Know for Certain
DaveSinNM
21 views
17
PPT OPD LES 3ertt4t4tqqqe23e3e3rq2qq232.pptx
novasedanayoga46
26 views