Annonce

Réduire
Aucune annonce.

Comparaison Nikto vs. Arachni - Web vulnerability Scanners

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Comparaison Nikto vs. Arachni - Web vulnerability Scanners

    Afin de comparer ces deux petits scanners, j'ai lancé le scan en même temps sur un même site internet.

    La cible est un de mes site personnels.

    Voici ses caractéristiques (en gros) :

    - sous Wordpress 3.3.1 (la version up to date est la 3.4.2)
    - hébergement mutualisé chez 1&1
    - PHP5.2.17 | MySQL5
    - composé de 97 pages
    - composé de 9 plugins WP personnalisés via PHP + HTML/CSS & JS.
    - quelques formulaires

    Voici désormais une synthèse des résultats d'audit de sécu des deux scanners :

    Nikto 2.1.2 :

    - 2 heures de scan
    - 18 failles dont 2 critiques
    - rapport de 33 lignes au total
    - rapport non détaillé sur le degré de gravité des failles, sur leur exploitation, sur leur résolution, parfois même sur leur type !

    Arachni 0.4.0.4 :

    - 27 heures de scan
    - 203 failles dont 10% de critiques
    - rapport de 20 088 lignes au total
    - rapport très détaillé, très complet, coloration des failles critiques sur 3 niveaux (rouge, orange, jaune), explication pour leur exploitation (avec script à l'appui, sources (documentation) pour se renseigner sur ce type de faille), indication sur chaque type de faille (Blind, CSRF, etc), renseignement de leur résolution (notamment dans le code source directement en indiquant la ligne précise), hashes, etc, etc, E.T.C.

    stats :

    - crawler : 271 pages scannées
    - requêtes : 315 440

    Voici les failles testées :

    - Links
    - Forms
    - Cookies
    - Modules: csrf, os_cmd_injection_timing, xss_uri, sqli, code_injection, sqli_blind_timing, path_traversal, trainer, xss, xss_path, ldapi, code_injection_timing, os_cmd_injection, rfi, sqli_blind_rdiff, unvalidated_redirect, xss_event, xpath, xss_script_tag, xss_tag, response_splitting, webdav, http_put, allowed_methods, ssn, credit_card, cvs_svn_users, emails, html_objects, captcha, private_ip, htaccess_limit, common_directories, backup_files, xst, unencrypted_password_forms, directory_listing, common_files, backdoors, interesting_responses, mixed_resource

    Filters:

    - Exclude:
    - Include:
    - (?-mix:.*)
    - Redundant


    Bon, vous l'aurez saisi, ce scanner va faire parler de lui. Il a été développé (par un jeune étudiant grec, pseudo: Zap0tek) durant l'été 2010.

    Il est scripté en Ruby.

    Voici l'adresse du git : git://github.com/Arachni/arachni.git

    Conclusion :

    J'ignorais totalement ce tool (arachni), j'ai cru pouvoir le comparer avec Nikto. Je me suis trompé. On ne compare pas l'incomparable

    Tool recommandé

    Si vous développez en Ruby, que vous êtes orientés webhack et que vous souhaitez contribuer à ce projet, n'hésitez pas à le contacter.

    Follow: http://twitter.com/Zap0tek
    Report a bug: https://github.com/Arachni/arachni/issues
    sigpic

    Cyprium Download Link

    Plus j'étudie plus j'me rends compte que je n'sais rien.

    †|

  • #2
    Salut SAKAROV,

    J'utilisé principalement Nessus et Arachni en scanner mais j'ai découvert il y a quelques semaine Vega de SUBGRAPH, d'après quelques connaissances il serait plus performant qu'Arachni, si ca te dit de scanner ton URL avec pour comparaison
    https://subgraph.com/vega/

    Commentaire


    • #3
      Tu as OpenVAS qui est un fork de NESSUS

      Commentaire


      • #4
        Des Scanners de Vuln il y en a des centaines. Je pense que le but premier de ce post étais avant tout une comparaison exhaustive entre les 2 cités au préalable par sakarov. Ce serais super de faire un poste similaire avec un panaché des scan existants afin d'en découvrir le meilleur et le plus fiable. Perso je n'ai pas le temps avec le taf mais si le coeur vous en dit

        Commentaire


        • #5
          Nouvelle version d'arachni dispo depuis le 1 mai

          Commentaire


          • #6
            wp maintenan ke g voi c post a dire vrai Arachni reste bien puiske depuis Nikto des failles ont ete revue dc on dira que pour mieux pofinés ces payloads on c doit d'etr assez moins "archaiik"

            Commentaire


            • #7
              <
              ကျွန်ုပ်ဇော်ဂျီဖြင့်ယူနီကုတ်ဖြင့်ဇော်ဂျီကီးဘုတ်ဖြင့် ယူနီကုတ် ရေးမည်။
              Merci encr a sarakov pour le partage ......lé etik reste et demeure "rms"

              Commentaire


              • #8
                Pas évident à comprendre ces messages.
                Arachni est plus poussé que Nikto je pense, et plus paramétrable aussi.

                Commentaire

                Chargement...
                X