Websecurify – 무료 웹 취약점 분석 도구

Websecurify

인터넷의 웹사이트가 최근 사용자들의 기본적인 업무와 고객 지원용도로 이용되면서 많은 웹사이트들이 만들어지고 있다. 하지만 웹이라는 특성으로 모든 사용자들이 손쉽게 이용할 수 있어, 웹 사이트의 보안 취약점으로 인해 내부 시스템과 연결될 수 있는 가능성이 존재하게 된다. 아무리 시스템 보안이 잘되어 있더라도, 응용서비스인 웹 서비스의 개발 문제점으로 인해 내부 시스템을 침입하거나, 이용자들의 정보를 따로 빼돌릴 수 있는 등 큰 문제점을 야기 할 수 있는 것이다.

3부에서 OWASP Top 10의 취약점을 수동으로 진단할 수 있는 방법에 대해 애기한 적이 있다. 하지만 수많은 사이트를 반복적으로 수동으로 진단한다는 것은 참으로 비 효율적인 작업이라 할 수 있다. 데이터 조작이 필요한 부분, 중요 사이트에 대해서는 수동으로 진단하고, 그 외 일반적인 항목들에 대해서 자동화된 웹 취약점 진단도구가 필요한데, 웹 보안 취약점 진단 도구들은 대부분 유료이다. http://www.acunetix.com 사에서 제공하는 웹 취약점 진단 도구는 분석가들 사이에 유명하지만 유료인 만큼 비용적으로 부담이 될 수밖에 없다.

Websecurify – 무료 웹 취약점 분석 도구

Websecurify – 무료 웹 취약점 분석 도구

[그림] 무료 버전의 경우 XSS만 점검이 가능하다

여기서 소개할 도구인 Websecurify는 구글 프로젝트로 무료로 제공하는 아래 사이트에서 다운로드하여 이용할 수 있다(이 책을 작성하고 리뷰할 때쯤 다시 확인해 보니, 개발자 버전만 다운로드 가능하며, 유료로 전환하였다. 하지만 현재 국내 사이트 등에서 구 버전 확인이 가능할 것이다). 개발자 버전의 경우 보고서 생성 기능에 제한이 있다. 해당 버전의 다운로드는 아래 사이트에서 가능하다.

http://code.google.com/p/websecurify/

필자가 이용하는 7.0 버전의 경우 필자 블로그에 올려 두었으니 사용해 보기 바란다.

Websecurify+0.7+

[그림] Websecurify 메인 화면

취약점 진단 데모 사이트인 다음 사이트를 이용하여 테스트를 진행해보자.

http://zero.webappsecurity.com

(실제 운영중인 사이트를 테스트 목적이라도 실행하지 말자. 취약점 진단 도구도 해킹 행위로 간주된다)

실행 방법은 간단하다. 진단하고자 하는 사이트 주소를 적어주는 것으로 간단히 진행할 수 있다. SQL injection, CSS(Cross-site scripting), 그 외 OWASP Top 10 기준 취약 항목들에 대해 진단이 가능한데 진단 결과는 아래와 같이 보고서 형식과 항목별로 나누어 확인할 수 있으며 .html, .csv, .xml 등으로 파일로도 저장이 가능하다.

[그림] 웹 취약점 진단 결과

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.