c语言编写,实验性的主动web安全评估工具,递归爬网,基于字典的探测,速度较快--(多路单线程,启发式自动内容识别),误报率低
常用参数
-I 只检查包含/xx/的url
-X 不检查包含/xx/的url
-k 不对指定参数进行fuzz测试
-D 跨站点爬另外一个域
-l 每秒最大请求数
-m 每个ip最大并发连接数
--config 指定配置文件
-o 扫描结果存放的文件名
-S 指定字典(字典是.wl结尾)
测试
回车扫描
扫描完成后,结果存放路径会提示
kali默认安装的阉割版,需要下载安装
下载地址:http://www.arachni-scanner.com/#Linux
解压
运行web网页./arachni_web
运行命令行界面
登录web后的界面(默认用户名admin@admin.admin,密码administrato)
Scans--扫描模块 Profiles--扫描规则 Dispatchers--连接代理管理分布式扫描的主机节点 Users--用户
scans扫描,defaul是默认的扫描规则,和openvas一样,自定义配置
高级选项---支持分布式扫描,支持计划任务调度
扫描规则
分布式节点的主机---端口
友情链接 http://www.cnblogs.com/klionsec
http://www.cnblogs.com/l0cm
http://www.cnblogs.com/Anonyaptxxx
http://www.feiyusafe.cn