Afin de comparer ces deux petits scanners, j'ai lancé le scan en même temps sur un même site internet.
La cible est un de mes site personnels.
Voici ses caractéristiques (en gros) :
- sous Wordpress 3.3.1 (la version up to date est la 3.4.2)
- hébergement mutualisé chez 1&1
- PHP5.2.17 | MySQL5
- composé de 97 pages
- composé de 9 plugins WP personnalisés via PHP + HTML/CSS & JS.
- quelques formulaires
Voici désormais une synthèse des résultats d'audit de sécu des deux scanners :
Nikto 2.1.2 :
- 2 heures de scan
- 18 failles dont 2 critiques
- rapport de 33 lignes au total
- rapport non détaillé sur le degré de gravité des failles, sur leur exploitation, sur leur résolution, parfois même sur leur type !
Arachni 0.4.0.4 :
- 27 heures de scan
- 203 failles dont 10% de critiques
- rapport de 20 088 lignes au total
- rapport très détaillé, très complet, coloration des failles critiques sur 3 niveaux (rouge, orange, jaune), explication pour leur exploitation (avec script à l'appui, sources (documentation) pour se renseigner sur ce type de faille), indication sur chaque type de faille (Blind, CSRF, etc), renseignement de leur résolution (notamment dans le code source directement en indiquant la ligne précise), hashes, etc, etc, E.T.C.
stats :
- crawler : 271 pages scannées
- requêtes : 315 440
Voici les failles testées :
- Links
- Forms
- Cookies
- Modules: csrf, os_cmd_injection_timing, xss_uri, sqli, code_injection, sqli_blind_timing, path_traversal, trainer, xss, xss_path, ldapi, code_injection_timing, os_cmd_injection, rfi, sqli_blind_rdiff, unvalidated_redirect, xss_event, xpath, xss_script_tag, xss_tag, response_splitting, webdav, http_put, allowed_methods, ssn, credit_card, cvs_svn_users, emails, html_objects, captcha, private_ip, htaccess_limit, common_directories, backup_files, xst, unencrypted_password_forms, directory_listing, common_files, backdoors, interesting_responses, mixed_resource
Filters:
- Exclude:
- Include:
- (?-mix:.*)
- Redundant
Bon, vous l'aurez saisi, ce scanner va faire parler de lui. Il a été développé (par un jeune étudiant grec, pseudo: Zap0tek) durant l'été 2010.
Il est scripté en Ruby.
Voici l'adresse du git : git://github.com/Arachni/arachni.git
Conclusion :
J'ignorais totalement ce tool (arachni), j'ai cru pouvoir le comparer avec Nikto. Je me suis trompé. On ne compare pas l'incomparable
Tool recommandé
Si vous développez en Ruby, que vous êtes orientés webhack et que vous souhaitez contribuer à ce projet, n'hésitez pas à le contacter.
Follow: http://twitter.com/Zap0tek
Report a bug: https://github.com/Arachni/arachni/issues
La cible est un de mes site personnels.
Voici ses caractéristiques (en gros) :
- sous Wordpress 3.3.1 (la version up to date est la 3.4.2)
- hébergement mutualisé chez 1&1
- PHP5.2.17 | MySQL5
- composé de 97 pages
- composé de 9 plugins WP personnalisés via PHP + HTML/CSS & JS.
- quelques formulaires
Voici désormais une synthèse des résultats d'audit de sécu des deux scanners :
Nikto 2.1.2 :
- 2 heures de scan
- 18 failles dont 2 critiques
- rapport de 33 lignes au total
- rapport non détaillé sur le degré de gravité des failles, sur leur exploitation, sur leur résolution, parfois même sur leur type !
Arachni 0.4.0.4 :
- 27 heures de scan
- 203 failles dont 10% de critiques
- rapport de 20 088 lignes au total
- rapport très détaillé, très complet, coloration des failles critiques sur 3 niveaux (rouge, orange, jaune), explication pour leur exploitation (avec script à l'appui, sources (documentation) pour se renseigner sur ce type de faille), indication sur chaque type de faille (Blind, CSRF, etc), renseignement de leur résolution (notamment dans le code source directement en indiquant la ligne précise), hashes, etc, etc, E.T.C.
stats :
- crawler : 271 pages scannées
- requêtes : 315 440
Voici les failles testées :
- Links
- Forms
- Cookies
- Modules: csrf, os_cmd_injection_timing, xss_uri, sqli, code_injection, sqli_blind_timing, path_traversal, trainer, xss, xss_path, ldapi, code_injection_timing, os_cmd_injection, rfi, sqli_blind_rdiff, unvalidated_redirect, xss_event, xpath, xss_script_tag, xss_tag, response_splitting, webdav, http_put, allowed_methods, ssn, credit_card, cvs_svn_users, emails, html_objects, captcha, private_ip, htaccess_limit, common_directories, backup_files, xst, unencrypted_password_forms, directory_listing, common_files, backdoors, interesting_responses, mixed_resource
Filters:
- Exclude:
- Include:
- (?-mix:.*)
- Redundant
Bon, vous l'aurez saisi, ce scanner va faire parler de lui. Il a été développé (par un jeune étudiant grec, pseudo: Zap0tek) durant l'été 2010.
Il est scripté en Ruby.
Voici l'adresse du git : git://github.com/Arachni/arachni.git
Conclusion :
J'ignorais totalement ce tool (arachni), j'ai cru pouvoir le comparer avec Nikto. Je me suis trompé. On ne compare pas l'incomparable
Tool recommandé
Si vous développez en Ruby, que vous êtes orientés webhack et que vous souhaitez contribuer à ce projet, n'hésitez pas à le contacter.
Follow: http://twitter.com/Zap0tek
Report a bug: https://github.com/Arachni/arachni/issues
Commentaire