安全工具介绍 SCNR/Arachni

关于SCNR

原来叫Arachni 是开源的，现在是SCNR，商用工具了 可试用一个月

Arachni Web Application Security Scanner Framework 看名字就知道了，针对web app 的安全工具，DAST+IAST吧

安装

安装之前先

sudo apt-get update
sudo apt-get install libgconf-2-4 libatk1.0-0 libatk-bridge2.0-0 libgdk-pixbuf2.0-0 libgtk-3-0 libgbm-dev libnss3-dev libxss-dev libasound2

linux可以直接 bash -c "$(curl -sSL https://get.ecsypno.com/scnr)"

注意：不能用root用户

也可以自己下载包手动安装

Releases · scnr/installer · GitHub

解压 之后bin/scnr_activate KEY 来激活，可以申请30天试用，申请个trial key就行了。

到这就可以cli直接扫描了，想搭建web 扫描的话需要运行bin/scnr_pro

这个数据库要自己准备 ./bin/scnr_pro_task db:create db:migrate db:seed

bin/scnr_pro 默认端口号9292 就可以直接访问web ui了

添加site之后就可以扫描了

还不错

web ui主打的就是方便。。。

可以定时scan

设置audit mode

扫描设置

目标站点软件栈设置

reference

scnr/installer: Installation script for Codename SCNR. (github.com)