아큐네틱스의 새로운 웹 취약성 스캐너!!

아큐네틱스에서 새로운 버전의 웹 취약성 스캐너를 7월 2째주 중에 시장에 출시하기로 결정하였습니다. 해당 제품에 대한 제품 판매 및 기술지원을 국내에서는 (주)아이시큐어가 한다고 합니다. 한글 매뉴얼과 기술자료를 제공해 주고, 제품에 대한 품질 지원을 현재 진행하고 있다고 합니다.

아큐네틱스 WVS(Web Vulnerability Scanner)웹 취약성 스캐너) 버전 4에서는 다음과 같은 다음과 같은 새로운 기능을 포함하고 있습니다.

l JavaScript 과 AJAX 지원: AJAX애플리케이션을 포함한 JavaScritp 기반의 웹 사이트를 자동으로 검사 및 분석 합니다.

l Advanced Scheduling: 추가된 스케줄링 모듈은 단일 또는 다중 웹 사이트의 동시 혹은 순차적인 검사의 실행에 더욱 개선된 유연성과 자동화가 가능하게 합니다. 스케쥴링은 검사, 수집, 로깅을 구성하고 결과 내용을 저장하는 모든 기능을 쉽게 사용자가 활성화 할 수 있는 관련 관리 콘솔과 함께 서비스처럼 동작합니다.

l Command Line 지원: 다양한 세트의 매개변수를 이용하여 커맨드 라인을 통해 실행 될 수 있습니다.

l URL Rewrite 지원: URL 고쳐쓰기를 이용하여 웹 사이트를 검사합니다.

l Advanced Logging: WVS 애플리케이션과 에러 로그는 검사동안에 발생하는 문제들에 대한 대단한 가시성을 제공합니다.

l Custom Cookies 지원

l Enhanced Search 기능: 보다 나은 리포트를 생성하도록 보고서 소스에 대한 빠른 검색을 포함합니다.

l Enhanced Reporting 기능

l Scan Result Export: XML과 AVDL 포맷

WVS의 취약성 점검 항목

WVS는 다음에 따르는 부류의 웹 취약점들을 검사하기 위해 웹 사이트와 모든 관련된 웹 애플리케이션을 자동으로 수집합니다.

l Version Check(버전 확인)

¡ 취약한 웹 서버

¡ 취약한 웹 서버 사용 기술

¡ Pearl Forums

l CGI Tester(CGI 검사도구)

¡ 웹 서버 문제 검사

¡ 웹 서버 사용 기술 확인

¡ 웹 서버 정보 수집

l Authentication(인증)

¡ 입력값 검증

¡ 인증 공격

l Parameter Manipulation(매개변수 조작)

¡ Cross-Site Scritping(XSS)

¡ SQL Injection

¡ Code Execution

¡ Directory Traversal

¡ File Inclusion

¡ Script Source Code Disclosure

¡ CRLF Injection

¡ Cross Frame Scripting(XFS)

¡ PHP Code Injection

¡ XPath Injection

l MultiRequest Parameter Manipulation(매개변수 조작 다중 요청)

¡ Blind SQL/XPath Injection

l File Checks(파일 검사)

¡ 백업 파일 또는 디렉터리 확인

¡ 스크립트 에러 확인

l Directory Checks(디렉터리 검사)

¡ Log, traces, CVS와 같은 일반 파일 찾기

¡ 민감한 파일/디렉터리 찾기

¡ 미약한 퍼미션을 갖는 디렉터리 찾기

¡ 웹 애플리케이션

l Text Search(일반 문자 검색)

¡ 디렉터리 목록

¡ Source Code Disclosure(소스코드노출)

¡ 일반 파일 확인

¡ Server Side Includes(SSI) 지시 확인

¡ 전자메일 주소 확인

¡ 마이크로소프트 오피스의 민감한 정보

¡ Local Path Disclosure

¡ 에러 메시지

l GHDB Google Hacking Database(검색엔진 해킹 데이터베이스)

¡ 데이터베이스에 1000 개가 넘는 GHDB 검색어 포함

검사 프로프일 구성도구를 통하여, 모든 취약성 또는 선택된 취약성만 검사하도록 WVS를 설정할 수 있습니다.

진보된 도구들

아큐네틱스 WVS는 오늘날의 복잡한 웹 기반 환경의 복합성을 파악하기 위해 개선되고 매우 정확한 기술을 소개 함으로써 해 취약성 검사의 범위를 확대하고 있습니다. WVS는 수동조종을 통한 지능형 취약점 검사의 다른 형태를 고려하면서 규칙적으로 업데이트 되는 데이터베이스를 통해 알려진 취약점들을 자동으로 검사하도록 합니다. 게다가 특정 애플리케이션에 매이지 않은 다양한 자동화된 해킹 공격을 실행할 수 있도록 합니다. 이는 어떻게 그리고 언제 개발되고, 누가 개발했는지를 염두에 두지 않은 개별 생산된 애플리케이션의 검사를 가능하게 합니다.

다음에 따르는 목록은 보다 개선된 WVS 도구들 입니다.

l Target Finder

l Authentication Tester

l HTTP Editor

l HTTP Sniffer

l HTTP Fuzzer

l Report Generator

l Compare Results Tool

l Scheduler

l Command Line Support

그 외의 기능들

WVS는 다음과 같은 기능을 포함하고 있습니다.

l 전체 검사를 설정하도록 step-by-step 지시를 지원하는 스캔 마법사를 통해 대단히 쉽게 웹 사이트를 검사합니다.

l 제품과 새로운 취약점에 대한 온라인 업데이트

l HTTP와 SOCKS Proxy 서버 지원

l 검사 결과를 저장하도록 MS Access와 MS SQL 서버 지원

l 검사 프로파일의 사용자 구성

l 애플리케이션이 어떻게 웹 서버로 요청을 보내는지를 조정하도록 사용자 HTTP 튜닝

l 파일 필터, 디렉터리 필터, URL 정정 및 사용자 Cookies를 지원하는 사이트 수집기 설정

l 웹 사이트의 서브 도메인 검사를 자동으로 수행하도록 하는 WVS 설정

l 모든 형태의 로그인을 지원하는 로그인 절차 기록기

l HTML 입력 폼의 사용자 제출 입력값 설정

l 개별 사용자가 개발한 404 에러페이지 지원

l 개별 구성된 검색엔진 해킹 데이터베이스 필터 지원

l 트러블 슈팅을 위한 애플리케이션 로깅 지원