=========================================================================
아큐네틱스 웹 취약점 점검도구인 WVS는?
웹 취약점 점검도구인
WVS는 악의적인 공격자가 시스템과 데이터로의 불법적인 접근을 획득하기 위해 악용할 수 있는 웹 애플리케이션의 보안 허점을 찾아내기 위해 만들어진 도구입니다. 이는 SQL
Injection, Cross Site Scripting, 암호취약점 및
WebDev 옵션의 상황 등을 포함한 다중의 애플리케이션 및 인프라스트럭처의 취약점을 찾아내도록 도움을 줍니다.
본 제품은 웹과 애플리케이션 취약점을 점검하도록 이용될 수 있고, 확인된 문제점에 대한 모의침투테스팅을 실행하도록 이용될 수도 있습니다. 발견된 각 취약점에 제공되는 수정 권고안은 검사된 웹 애플리케이션과 인프라스트럭처의 보안성을 향상시키는데 도움을 줄 수 있습니다.
본
리뷰는
보안 전문가이자 웹 애플리케이션 보안 및 감사도구의 컨설팅을 수행하는
Jason Lee가 다양한 테스트 사이트의 검증을 통해 아큐네틱스의 사용법과 기능을 확인하였습니다. 실제 취약점 평가와 침투 테스트 동안 나타난 내용으로 검사를 진행하였습니다.
본 테스트에 많은 전문패널이 참석하지 못한 것에 대해서는 안타깝게 생각하고 있지만,
해당 리뷰는 타 제품과의 비교를 통해서 얼마나 많은 오탐(False
Positive) 및 미탐(False
Negative)이 발생하는지를 확인함으로써 개선된 성능과 편의성을 확인할 수 있게 될 것입니다. 해당 테스트는 아큐네틱스의 테스트 웹 사이트와 스파이다이나믹스의 테스트 웹 사이트 그리고 워치파이어의 테스트 웹 사이트를 통해서 진행이 되었으며,
아큐네틱스 웹 취약점 분석 도구의 각 기능은
1-5의 척도로 표시가 되었고,
5가 가장 좋은 점수가 되겠습니다.
설치
및
업데이트
구조
설치는 바로 진행됩니다. 전형적인 윈도우 설치 절차로 실행 가능하도록 제공됩니다. 설치를 위해 필요한 유일한 입력값은 사용자 정보와 발급된 라이센스 키 입니다. 본 프로그램은 업데이트 구조를 제공하고 있으며,
아큐네틱스는 설정을 통해 시작 시 업데이트를 확인하거나 업데이트 기능을 수동으로 필요 시에만 확인할 수 있도록 할 수 있습니다.
점검
도구의
설명
점검 도구의 사용자 인터페이스는 기능에 의해 수행 가능한 업무를 분배하고 있습니다. 데이터가 각 도구간에서 공유,
복사,
및 붙여지는 동안,
해당 인터페이스는 웹 애플리케이션 평가 실행과 함께 연계되어 수행업무를 처리하는 방법을 통해 논리적이고 효과적인 점검을 진행할 수 있습니다. 각각의 도구의 내용과 고유한 기능은 다음과 같습니다.
그림
1.
WVS의
초기
화면
점검 마법사(Scan
Wizard):
점검 마법사는 아큐네틱스에서 제공하는 점검 설정을 손쉽게 진행할 수 있는 기능을 제공합니다.
해당 점검 마법사에서는
점검
대상
입력,
입력
대상
중
점검
대상
선택
및
기반
기술
확인
및
선택,
사이트
수집
옵션
설정,
점검
옵션
설정,
로그인
기록,
설정
내용
확인을 할 수 있도록 정리가 되어 있습니다.
다음의 화면을 통해서 간략하게 해당 내용을 확인하시기 바랍니다.
그림
2.
점검
대상
입력
위의 그림 2.
는 점검 대상 입력을 할 수 있는 단계이며,
점검하기 원하는 대상에 대한 다양한 정의를 할 수 있습니다.
l Scan single
website: 이는 하나의 점검 대상에 대한 설정을 할 경우에 이용할 수 있습니다. 도메인 혹은 IP
주소를 입력할 수 있습니다. (예) http://testasp.acunetix.com 또는 http://80.237.198.237
l Scan using
saved crawling results: 이는 이전에 수집한 점검 대상 사이트에 대한 수집파일(.cwl)을 불러들여서 점검을 진행할 수 있습니다.
l Scan a list of
websites from a file: 이는 여러 개의 점검 대상에 대한 설정을 한번에 진행하는 경우에 이용할 수 있습니다. 텍스트 파일을 생성하여,
여기에 순차적으로 점검대상이 되는 도메인 혹은 IP
주소를 기입하고 이를 저장하여,
이곳에서 저장된.
txt파일을 불러들여 점검을 진행할 수 있습니다.
l Scan a range of
computer looking for websites: 이는 일련의 네트워크 대역에서 웹 서비스를 하고 있는 서버를 대상으로 점검을 진행하고자 할 때 이용할 수 있습니다. 이 경우,
불특정 다수의 웹 서버 및 서비스를 수집하여 점검 대상으로 삼습니다. (예) IP range:
192.168.0.1-30, List of Ports: 80,443,8080
그림
3.
입력
대상
중
점검대상
선택
및
기반기술
확인
및
선택
위의 그림
3에서는 입력한 점검 대상 혹은 대상들의 리스트를 확인할 수 있으며,
각각 입력한 점검 대상의 기반 기술을 확인하고 추가할 수 있으며,
확인된 점검 대상들을 선별할 수 있습니다. 보여지는 내용처럼,
웹 서비스의 라이브 확인,
웹 서버 종류 확인,
운영체제 확인,
그리고 사용되는 기술을 확인하고 선별할 수 있습니다.
그림
4.
사이트
수집
옵션
설정
위의 그림
4는 웹 사이트에서 링크를 수집하는 크라울러의 설정을 위한 화면입니다. 이전 버전과 차이점이라면 스캔옵션에 있는 사이트수집 옵션이 분리되었다는 것과 분리된 사이트수집옵션에 사이트 수집 후 점검할 파일을 선별할 수 있는 옵션이 추가되었다는 것입니다.
그림
5.
점검
옵션설정
창
위의 그림
5는 점검 옵션을 설정할 수 있는 창으로,
앞서 설명한 그림
4와 해당 단계의 일부 내용이 이전버전에서는 단일 단계로 함께 제공되었습니다. 이곳에서는 점검 프로파일을 선택하거나,
점검 옵션을 선택할 수 있게 되어있습니다.
Scan Option은 버전 5에서 새로이 추가된 부분으로서, Quick, Heuristic, Extensive라는 3단계의 점검 선택사항이 들어가 있습니다. 또한 HTTP 헤더를 조작하거나 XSS가 삽입된 부분이 있는지 확인할 수 있는 옵션이 추가되었습니다.
점검 모드(Scanning Mode)
* Quick: 모든 파라메터에서 오직 첫번째 값만을 점검하게 됩니다.
* Heuristic: 분석도구가 어떤 파라메터가 복잡한 검사가 요구되는지를 자동적으로 결정하고 시도하게 됩니다.
* Extensive: 모든 파라메터에 대한 가능한 모든 조합이 검사되게 됩니다. 많은 파라메터와 파라메터 조합이 있게된다면, 해당 모드에서는 굉장히 많은 수의 HTTP요청을 생성하게 됩니다.
점검속도: Quick>Heuristic>Extensive
점검깊이: Quick<Heuristic<Extensive
그림
6.
로그인
기록
이는 단순한 인증이나 복잡한 인증과정이 필요한 웹 사이트에 대한 점검에 사용되는 로그인 요청을 기록하는 도구로서 로그인에 대한 기록으로 웹 애플리케이션 점검 시 인증에 대한 부분을 처리하도록 이용되고 있습니다.
하지만 이전과 동일하게 로그아웃에 대한 부분을 아직도 수동으로 처리해 주어야만 합니다.
그림
7.
설정
내용
확인
및
점검
실행
웹 스캐너(Web
Scanner):
점검을 시작할 때,
아큐네틱스는 어떤 기술이 웹 서버에서 이용되는지를 결정하기 위해 빠른 서버 검사를 실행합니다. 이를 통해서
ASP가 웹 서버에서 이용되고 있다고 확인되면,
아큐네틱스는 ASP
취약점들과 관련된 내용을 점검합니다. 물론 아큐네틱스가 점검해야 하는 취약점을 한정하기 위해서 사용된 기술을 수동으로 선택하거나 점검 정책을 다시 프로파일링하여 제한된 점검이 이루어지도록 작업할 수 도 있습니다.
그림
8.
웹
스캐너의
점검
진행화면
점검 도구는 SQL
Injection 가용성,
Cross Site Scripting 취약점 혹은 침해확인 등의 취약점 점검과 일반적인 기본 파일(예컨대
“manuals”, “test” 파일)과 서버의 잘못된 설정(예컨대,
TRACK, TRACE Enable)등을 확인합니다. 아큐네틱스에서 제공되는 점검도구는 일반적으로 점검에 이용되는 도구와 같은 역할을 수행하지만,
어떤 경우에는 단순한 점검도구 이상의 역할을 수행할 수 있습니다. 다른 점검도구에 의해 찾아내지 못하는 파일들과 페이지들을 아큐네틱스는 찾아내기도 합니다. 이전 버전의 제품과 마찬가지로 아큐네틱스는 SQL
Injection과
Cross Site Scripting을 찾아 확인할 수 있게 하는 최고의 도구 중 하나라고 말할 수 있습니다.
점검 설정 마법사에서는 제공하지 않지만,
설정메뉴에서는 서드파티 혹은 고객들이 자체 제작한 에러페이지를 특정할 수 있게 하는 기능을 통해서 자동화된 웹 취약점 분석도구가 갖는 오탐율도 줄일 수 있습니다. 이는 몇몇 진보된 도구만이 가지고 제공할 수 있는 뛰어난 기능입니다. 또한 본 점검 도구는 전자메일 주소와 연결이 끊겨진 링크와 같은 일반정보 및 사이트 정보를 발견하고 분류할 수 있습니다. 일반적으로 모의 침투 테스트를 진행하는 동안 웹 페이지에서 전자메일 주소를 추출하는 것처럼,
본 도구는 유용하게 전자메일 주소를 수집할 수 있습니다.
본 도구의 웹 스캐너는 속속들이 빠르게 웹 애플리케이션을 점검하고 다른 점검도구에서 찾을 수 없는 특색 있는 기능을 가지고 있습니다.
하지만,
기본적으로 이전 버전과 동일한 점검 엔진상의 문제점을 해결하지 못한 관계로,
데이터베이스에 다량의 로그를 남기거나,
폼 메일러를 통한 다량의 메일 발송과 로그인 정보를 다량으로 발생하였고,
이전 버전보다도 더 느린 점검 속도로 인해 평점을 낮추게 되었습니다.
평점
3.0
웹 사이트 수집기(Web
Crawler):
그림
9.
웹
사이트
수집기의
수집
진행화면
웹 사이트 수집기는 웹 사이트에 있는 링크를 수집하고 사이트 구조의 계층적인 모양을 보여주게 됩니다. 그리고,
수집기에서 이용되는 스파이더는 페이지 내에서
referrer 페이지,
헤더,
그리고 변수와 같은 정보를 수집하게 됩니다. 기본적으로 본 도구는 전체 웹 사이트를 수집한다고 볼 수 있지만,
원하는 부분만을 선택하거나 확장하여 수집하는 것을 제한할 수 있습니다. 본 리뷰를 통해서도 이전에 해당 블로그에서 밝힌 바처럼,
WVS의 수집도구가 빠르고 대상 사이트의 전체적인 레이아웃을 이해하는데 도움을 주는 정보를 보여준다는 것을 발견했습니다만,
이전 버전과 동일하게,
본 수집기는 특정 사이트의 잘못 구성된 한 부분에 이르러서 루프에 걸려 멈추기도 했습니다. 결함을 다시 확인하기 위해 서너 개의 다른 애플리케이션으로 구성된 특정 사이트에 대한 수집을 진행했는데,
그 중 하나에서는 다시 무한루프에 걸렸습니다. 역시 해당 문제를 해결하기 위한 노력과는 관계없이 이러한 문제의 발생이유는 확인할 수 없었지만,
해당 도구가 웹 사이트의 수집을 위해
DFS(Depth Focus Search)방식의 알고리즘을 사용하기 때문에 이러한 문제가 발생할 수 있다고 보여집니다. 하지만,
왜 다른 애플리케이션은 아무런 문제없이 사이트 수집이 되었는지 또한 판별할 수 없었습니다.
또 다른 장점으로 사이트 수집 후,
점검할 대상과 점검에서 제외할 대상을 선택할 수 있는 창이 제공되어 점검의 편의를 돕는다는 점이 이전 버전과의 차이점으로 보여졌습니다.
그림
10.
점검
대상
파일
선택
창
이와 같은 부족함이 없는 주요 기능과 훌륭한 보기 기능,
그리고 빠른 수집능력으로 인해 중간에 문제가 발생한 부분으로 인해 평점이 낮아졌음에도 불구하고 좋은 평점을 줄 수 있었습니다.
평점:
4.0
점검대상찾기 도구(Target
Finder):
그림
11.
점검대상
찾기
진행
화면
대상
찾기
도구는
주어진
주소의
범위에서
웹
사이트를
찾을
수
있게
설계된
간단한
포트
스캐너입니다. 이는
이전버전에서
사용되던
것과
동일한
기능과
문제점을
가지고
있습니다.
이는
주소의
범위는
한정되지
않았고,
표준포트를
사용하지
않는
웹
사이트를
발견할
수
있게
원하는
포트를
찾아볼
수
있도록
특정할
수
있습니다. 또한
사용중인
웹
서버의
종류를
판별하기
위한
시도도
합니다.
이러한
기능이
이전버전에서는
몇
가지
서툰
문제점들을
발생시키고,
이를
경험한
본인은
답답함을
금할
수
없었습니다만,
개선된
버전에서는
몇몇
문제가
해결된
것으로
보여집니다.
점검을
위해
C클래스
주소지의
절반을
지정해
주었을
때,
그곳에
웹
서버가
이미
존재하고
있는
것을
알고
있었고,
결과적으로
정확히
웹
서버를
판별해
내었습니다. 이전
버전에서는
주소지를
감소시킨
경우에만,
존재하는
서버를
정확하게
판별했습니다만,
본
버전에서는
그러한
문제를
해결해놓은
것으로
보여졌습니다.
대규모
주소지를
줄
경우
정상적으로
동작할
수
있다는
사실
때문에,
해당
도구에는
기능상의
편의점과
함께
높은
평점을
받을
수
있었습니다.
평점
4.0
서브도메인 찾기 도구(Subdomain
Scanner):
그림
12.
서브도메인
찾기
도구
화면
그림
12에 보이는 서브도메인 찾기 도구는 다양한 기법과 일반적인 서브 도메인 이름을 추측하여 빠르고 쉽게 서비스중인 서브도메인을 구별할 수 있도록 합니다. 해당 서브도메인 찾기 도구는 대상의
DNS서버를 이용하여 설정할 수 도 있고,
사용자에 의해 특정하여 설정될 수도 있습니다.
해당 서브도메인 찾기 도구는 정상적으로 서브 도메인 명을 불러오기는 했지만,
실망스럽게도 그 외의 IP
주소,
웹 서버 배너와 기반 기술에 관련된 정보는 정상적으로 불러오지를 못했습니다. 물론 경우에 따라서는 정상적인 값을 가지고 오기도 했지만,
역시 비정상적으로 값을 불러오는 빈도가 높아,
그 편의성에도 불구하고 낮은 평점을 주게 되었습니다.
평점:
2.0
HTTP
편집기(HTTP
Editor)와 HTTP
스니퍼(HTTP Sniffer):
그림
13.
HTTP 편집기
화면
그림
14.
HTTP 스니퍼
화면
해당 도구들은
HTTP 요청을 보거나 편집하거나 생성할 수 있습니다. 이러한 도구를 이용하여 모의해킹을 다루거나 보안 감사를 진행하는 사람은 서버와 클라이언트간의 트래픽을 분석하거나 이용하는 것이 허용됩니다. 이러한 정보를 통해서 SQL
Injection과
Cross Site Scripting 취약점에 대한 공격을 자체적으로 생성하는 것이 가능합니다.
스니퍼는 또한 서버로 보내지기 전 또는 데이터를 받기 전에 응답되는 데이터를 차단하거나 수정하는 것을 허용하여 클라이언트 단의 검증을 우회할 수 있도록 할 수 있습니다. 이러한 도구는 스캐너가 자동으로 처리하기 어려운 애플리케이션에 대한 심도 있는 점검과 점검이 가능하도록 합니다.
확실히 이러한 도구들은 이전 버전의 리뷰에서 밝힌 것처럼 해당 제품에서 만족스럽게 이용할 수 있는 아주 가치 있는 기능이라고 판단됩니다. 인터페이스는 간소화 될 수 있겠지만,
다른 면으로 보아 이는 높은 평점을 줄 수 있는 편리한 기능이라고 판단됩니다.
평점:
4
'Security_Space' 카테고리의 다른 글
| MS, 금융권 안티피싱 사업「초읽기」전용 사이트 구축해 보안패치 배포키로 (0) | 2007.10.24 |
|---|---|
| Acunetix WVS V5 Review -2 (2) | 2007.10.23 |
| 네이버, 개인정보보호 강화 시동 (1) | 2007.10.05 |
| 해커 등급(Hacker Level) (2) | 2007.10.02 |
| SK커뮤니케이션즈, 기획과 개발단계부터 보안적용 (2) | 2007.10.02 |