สวัสดีครับแฟนเพจ Datafarm วันนี้แอดจะมาแนะนำ Framework สำหรับช่วยในการสแกนหาช่องโหว่ web application ซึ่ง Framework ตัวนี้จะเป็น opensource ที่เราสามารถ ดาวน์โหลดฟรี !! (ของฟรีแอดชอบ) มีนามว่า “Arachni” ไอ้ต้าว arachni นี้นะฮะ มันเก่งเกินตัวมากๆ และยังสามารถช่วยผู้พัฒนาเว็บไซต์ หาช่องโหว่ของเว็บเบื้องต้นได้อีกด้วย ไม่ว่าจะเป็นช่องโหว่ SQL injection, XSS, DOM XSS ,Code injection , NoSQL injection , OS command injection และช่องโหว่อื่นๆอีกมว๊ากมาย มันเยอะจริมๆครับ และนอกจากการ สแกนช่องโหว่แล้วมันยังสามารถทำ Report ออกมาให้เราในรูปแบบ HTML ,XML,AFR และ อื่นๆอีก ซึ่งในส่วนนี้นี้แอดจะไม่ลงรายละเอียด แต่จะให้ลิ้งค์สำหรับไปศึกษาเพิ่มเติมนะครับ เราได้รู้จักต้าว arachni ไปคร่าวๆแล้วนะฮะ ทีนี้เราลองมาติดตั้งเพื่อทดสอบการใช้งานความเจ๋งของ Arachni กันฮะ เตรียมตัวนะฮะ ไป ไป ไป..
เริ่มจากทำการ Download file จาก http://www.arachni-scanner.com/download/ มาก่อนนะครัช
และทำการแตกไฟล์ด้วยคำสั่ง
root@kali :~ tar -xvzf arachni-1.5.1–0.5.12-linux-x86_64.tar.gzและเข้าไปที่โฟลเดอร์ /bin และใช้คำสั่ง ./arachni_web เพื่อ run Arachni WebUI ขึ้นมาจะเจอหน้า Login แบบนี้นะครับ
ซึ่งจะมี Username และ Password Default เป็น
Username : admin@admin.admin
Password : administrator
หลังจากที่ Login เข้าไปแล้วจะพบกับหน้า Welcome to Arachni นี่ก็คือเราพร้อมทำการสแกนแล้วนะครับ ให้เราเลือกที่ SCAN
ใส่ URL เป้าหมาย แล้วเลื่อนลงมากด GO จากนั้นรอสักครู่นะครับ
หลังจากที่เรารอมาสักพัก ก็เป็นอันเสร็จสิ้นการสแกนแล้ว ทีนี้เราก็ไปดูที่ด้านซ้ายมือจะมีให้เราเลือก Export Report อยู่ แอดจะลอง export ออกมาเป็น HTML นะครับ
หลังจากที่เรา Download report มาเรียบร้อยแล้ว เราลองเปิดไฟล์ index.html เพื่อดูรายงานการสแกนนะครับ
จะพบกราฟผลการสแกนที่สวยงามแบบนี้
หรือลองคลิกดูที่ Tab OWASP TOP 10 เพื่อดูว่าช่องโหว่ที่เราเจอบนเว็บนั้นอยู่ใน list ข้อใดของ owasp top 10 ครับบ อย่างในตัวอย่างจะเป็น A5-Security Misconfiguration
เท่านี้เองนะครับสำหรับการติดตั้งและใช้งาน Arachni Framework เบื้องต้นในบทความถัดไปเดี๋ยวแอดมาสอนการใช้งานเชิงลึกอีกทีนะครับ วันนี้แอดไปก่อน สวัสดีครับ
