인터넷의 웹사이트가 최근 사용자들의 기본적인 업무와 고객 지원용도로 이용되면서 많은 웹사이트들이 만들어지고 있다. 하지만 웹이라는 특성으로 모든 사용자들이 손쉽게 이용할 수 있어, 웹 사이트의 보안 취약점으로 인해 내부 시스템과 연결될 수 있는 가능성이 존재하게 된다. 아무리 시스템 보안이 잘되어 있더라도, 응용서비스인 웹 서비스의 개발 문제점으로 인해 내부 시스템을 침입하거나, 이용자들의 정보를 따로 빼돌릴 수 있는 등 큰 문제점을 야기 할 수 있는 것이다.
3부에서 OWASP Top 10의 취약점을 수동으로 진단할 수 있는 방법에 대해 애기한 적이 있다. 하지만 수많은 사이트를 반복적으로 수동으로 진단한다는 것은 참으로 비 효율적인 작업이라 할 수 있다. 데이터 조작이 필요한 부분, 중요 사이트에 대해서는 수동으로 진단하고, 그 외 일반적인 항목들에 대해서 자동화된 웹 취약점 진단도구가 필요한데, 웹 보안 취약점 진단 도구들은 대부분 유료이다. http://www.acunetix.com 사에서 제공하는 웹 취약점 진단 도구는 분석가들 사이에 유명하지만 유료인 만큼 비용적으로 부담이 될 수밖에 없다.
여기서 소개할 도구인 Websecurify는 구글 프로젝트로 무료로 제공하는 아래 사이트에서 다운로드하여 이용할 수 있다
(리뷰할 때쯤 다시 확인해 보니, 개발자 버전만 다운로드 가능하며, 유료로 전환하였다. 하지만 현재 국내 사이트 등에서 구 버전 확인이 가능할 것이다). 개발자 버전의 경우 보고서 생성 기능에 제한이 있다. 해당 버전의 다운로드는 아래 사이트에서 가능하다.
http://code.google.com/p/websecurify/
필자가 이용하는 7.0 버전의 경우 여기 올려 두었으니 사용해 보기 바란다.
취약점 진단 데모 사이트인 다음 사이트를 이용하여 테스트를 진행해보자.
http://zero.webappsecurity.com
(실제 운영중인 사이트를 테스트 목적이라도 실행하지 말자. 취약점 진단 도구도 해킹 행위로 간주된다)
실행 방법은 간단하다. 진단하고자 하는 사이트 주소를 적어주는 것으로 간단히 진행할 수 있다. SQL injection, CSS(Cross-site scripting), 그 외 OWASP Top 10 기준 취약 항목들에 대해 진단이 가능한데 진단 결과는 아래와 같이 보고서 형식과 항목별로 나누어 확인할 수 있으며 .html, .csv, .xml 등으로 파일로도 저장이 가능하다.
'Security' 카테고리의 다른 글
| 침해 분석 - 가장 중요한 포인트 (0) | 2020.11.19 |
|---|---|
| WannaCryptor랜섬웨어 관련 대응 요령 – smb v1 비활성화 (0) | 2020.11.18 |
| Pantest - Recon-ng scanning for XSS vulnerabilities (0) | 2020.11.18 |
| Visual Studio - AddressSanitizer (0) | 2020.11.17 |
| SECURE DNS - What is best performance (0) | 2020.11.16 |
