[Web] Arachni Scanner 웹 취약성 진단 Tool

테스트 결과 이 Tool은 동적으로 페이지를 이동하며 동작하는게 아닌, 처음 입력한 페이지 하나에 대한 진단만 가능하다.
결과적으로 최초 진단 목적과 달라서 사용하지 않지만 기록을 위해 남겨놓는다.

 

Arachni - 웹 보안취약점 테스트

---

https://github.com/ahannigan/docker-arachni

GitHub - ahannigan/docker-arachni: Arachni Web Application Scanner in Docker

 

Arachni는 무료 오픈소스 Web Application 보안 취약점 진단 Framework 이다. 웹 보안 취약점을 간단하게 무료로 진단할 수 있는 툴이다. docker container 기반으로 동작하며, github project를 clone 해서 docker에 띄우는 것 만으로 잘 동작한다.

 

현재는 더이상 지원을 중단하고, "Codename SCNR" 이라는 유료로 전환된 것 같다. 

그래도 Arachni 과거 버전을 그대로 사용할 수 있다.

 

 

Arachini 셋업

---

1. Docker 설치

sudo apt-get install docker.io

 

2. Docker 설치 상태 확인

docker -v

service docker status

 

3. Arachni git clone

git clone https://github.com/ahannigan/docker-arachni.git

 

4. Arachni docker run

docker run -d --name arachni -p 9292:9292 ahannigan/docker-arachni bin/arachni_web -o 0.0.0.0

 

5. docker container 상태 확인

docker container ls

 

Arachni

---

1. Arachni Web 페이지 접근, 로그인

## 웹페이지 접근 ##
https://localhost:9292

## admin 기본 계정으로 로그인 ##
Username : admin@admin.admin
Password : administrator

 

2. Scanning Test Start

• 상단 Scans > new
• Full URL 입력
• 이번 테스트는 http://localhost:3001/public/main 에 대해 진행

(localhost는 안된다.)

 

3. Scan 결과

아래와 같이 Issue 들과 웹 보안 취약점들을 확인할 수 있다.