Arachni es una herramienta que permite realizar auditorías de seguridad sobre aplicaciones web. Puede descargarse libremente y a continuación explicaremos con más profundidad algunas de sus características principales.
¿Por qué es importante realizar auditorías sobre las aplicaciones web?
Muchas empresas trabajan con aplicaciones web de forma muy estrecha, donde numerosas veces forma parte del modelo de negocio. Debido a esto, las aplicaciones web suelen ser un nodo crítico dentro del esquema tecnológico de la compañía y deben contemplarse los riesgos existentes sobre las mismas.
Previamente hemos informado sobre reportes de ataques en aplicaciones web donde las cifras son altamente llamativas. Debido a esto, se hace necesario realizar los controles necesarios para estar preparados contra posibles ataques. Arachni es una herramienta muy completa que permite realizar diversos controles y pruebas sobre una aplicación web en particular y obtener información en un cómodo reporte.
¿Qué funcionalidades ofrece Arachni?
Una de las características más importantes que ofrece es el soporte sobre diversos protocolos y versiones, tales como SOCKS4, SOCKS4A, SOCKS5, HTTP/1.1 y HTTP/1.0. Además ofrece la posibilidad de realizar peticiones asincrónicas HTTP con la posibilidad de ajustar la tasa de concurrencia de las mismas.
Otra de las funcionalidades interesantes es un “crawler” propio. De esa manera es posible realizar un recorrido profundo sobre todos los directorios de la aplicación web y obtener información sobre los mismos.
El modulo auditor permite verificar la seguridad de los formularios web, los enlaces, las cookies y las cabeceras de las peticiones. De esta manera es posible evaluar la seguridad frente a técnicas que utilizan los atacantes tales como las peticiones mal formadas, o incluso la explotación de vulnerabilidades en los formularios, como por ejemplo, a través de datos de entrada inválidos. De la misma forma, esta herramienta cuenta con un parser que permite analizar las mismas tecnologías antes expuestas desde el punto de vista del código.
Otro de los aspectos que también cubre esta herramienta es todo aquello referido a inyección SQL. De esta manera, es posible realizar pruebas basadas en error (error based), blind sql injection, e incluso inyecciones basadas en tiempo. Además, es posible llevar a cabo pruebas referidas a inyección de código en los lenguajes más comunes, tal como PHP, Python, Ruby y ASP.NET entre otros.
Esta herramienta provee una gran cantidad de pruebas que pueden ser configuradas de forma muy personalizada y de esta manera lograr verificar, de forma automática, la seguridad sobre la aplicación web.
Anteriormente hemos hablado sobre auditorías sobre servidores web con Nikto para aquellos que les interese investigar más sobre la temática. Finalmente, Arachni es una alternativa válida para realizar análisis de vulnerabilidades comunes como la inyección de comandos en servidores web. En futuros posts explicaremos más en detalle el funcionamiento de esta herramienta y el alcance que posee.
Fernando Catoira
Analista de Seguridad