基于 Ruby 的 开源 Web 扫描器 arachni

官网

http://www.arachni-scanner.com/
http://www.arachni-scanner.com/blog/

github
https://github.com/Arachni/arachni/

基本配置

从 github 安装

git clone https://github.com/Arachni/arachni.git --depth=1
rvm use 2.3.3
# 在 bin 目录下
bundle install

self-contained packages

建议使用 self-contained packages 安装。

nightly build
http://downloads.arachni-scanner.com/nightlies/

stable release
http://www.arachni-scanner.com/download/

wget http://downloads.arachni-scanner.com/nightlies/arachni-2.0dev-1.0dev-linux-x86_64.tar.gz
tar -zxvf arachni-2.0dev-1.0dev-linux-x86_64.tar.gz
cd arachni-2.0dev-1.0dev/bin
./arachni_web --host 0.0.0.0
# 可以使用 ./arachni_web --help 来查看其他选项

之后访问 http://127.0.0.1:9292 即可。

初始密码可参考如下文档。
https://github.com/Arachni/arachni-ui-web/wiki#default-credentials

(http://192.168.248.128:9292/settings > Profile)
在实际使用中，需要开启 autothrottle (自动限速) 插件。
以本站为目标进行扫描测试时曾多次扫挂数据库。
最后使用 http://testphp.vulnweb.com/ 作为测试目标。

参考资料

开源Web漏洞扫描工具–Arachni – ArkTeam
http://www.arkteam.net/?p=3186

centos下安装web漏洞扫描器Arachni
https://my.oschina.net/monkeyzhu/blog/392117

安全工具-Arachni
https://www.cnblogs.com/tdcqma/p/7517313.html

基于Arachni构建自动化黑盒扫描平台 – b1ngz
https://b1ngz.github.io/automatic-blackbox-scanner-based-on-arachni/

快速调用 arachni 进行批量扫描
http://zone.secevery.com/article/345

About w3af_api
http://0cx.cc/about_w3af_api.jspx

Arachni 相关
http://0cx.cc/how_to_use_Arachni.jspx

• #scanner
• #扫描器