공지사항
2015.09.09 / 13:02

아큐네틱스 웹 취약성 스캐너에 대해서

autodev
추천 수 225

아큐네틱스 웹 취약성 스캐너는 국내의 (주)아이시큐어(http://www.isecurekr.com)에서 판매 및 기술지원을 전담하고 있습니다. 해당 업체에서 한국어 매뉴얼 및 자료들에 대한 한국어 작업을 지속적으로 진행하고 있고, 제품 메뉴 한글화를 대부분 마쳤다고 합니다(이 부분은 제 포토로그를 보시면 확인하실 수 있습니다.).

Acunetix Web Vulnerability Scanner V3

해커들은 귀하의 웹사이트에 있는 응용프로그램을 공격하는 것에 그들의 노력을 집중하고 있습니다. 사이버상 공격의 75%가 쇼핑 바구니, 작성 폼, 로그인 페이지, 동적인 웹 내용에 대해 이루어집니다. 웹 응용 프로그램은 24시간 7일 내내 접근이 가능하며, 고객정보, 신용카드 번호 그리고 소유법인자료와 같은 예민한 정보를 통제할 수 있습니다. iSecure가 제공하는 Acunetix 웹 취약성 스캐너는 SQL injection, Cross site scripting과 다른 웹 공격의 취약성을 귀하의 웹 응용프로그램과 웹사이트에서 검사합니다.

방화벽, SSL과 locked-down 서버 같은 기존의 Network 보안 기재로서는 웹 애플리케이션에 대한 해킹과 피해를 막아낼 수 없습니다.

네트워크 보안 레벨의 방어기재로는 항상 열려져 있는 80포트에 대한 웹 애플리케이션 공격에 효과적인 보호를 제공할 수 없습니다. 게다가, 웹 애플리케이션은 주로 주문 생산되어지고 기성 소프트웨어보다 덜 검증되어 발견되지 않은 취약성을 더 많이 가지고 있습니다.

노동력으로 웹사이트의 취약성을 검사하는 것은 사실상 불가능 하기 때문에 이러한 작업이 자동화 되어지고 완전하게 이루어질 필요가 있습니다.

웹 취약성 스캐너의 기능

SQL injection과 Cross Site Scripting 및 다른 웹 취약성들에 대한 자동화된 검출

SQL injection은 데이터베이스의 자료에 접근권한을 얻기 위한 수단으로 SQL 명령어를 이용한 해킹기법입니다. Cross site scripting 공격은 귀하의 웹사이트에 방문에 접속한 사람의 웹 브라우저에 공격자가 악성 스크립트를 실행하는 것을 허용합니다.

iSecure가 제공하는 Acunetix 웹 취약성 스캐너는 귀하의 웹 어플리케이션이 이러한 공격에 취약성이 있는지 확인 할 수 있습니다. SQL injection과 Cross site scripting에 대한 자세한 정보는 iSecure 웹사이트의 보안센터에서 확인하실 수 있습니다.

감지가능한 취약점들

- CRLF injection 공격
- Code execution 공격
- Directory Traversal 공격
- File inclusion 공격
- input validation 공격
- Authentication 공격

구글해킹 취약점 감지

구글 해킹은 해커가 검색엔진에 질의문을 입력하여 이용 가능한 목표와 민감한 자료를 찾기 위해 시도되는데 이용되는 용어입니다. 구글 해킹 데이터베이스(GHDB)는 포탈 로그온 페이지, 네트워크보안 정보를 포함한 로그 등과 같은 민감한 자료를 식별할 수 있는 질의문을 포함합니다.

iSecure가 제공하는 Acunetix WVS는 “검색엔진 해커”가 민감한 자료 또는 공략 가능한 목표를 찾아내기 위해 모든 구글 해킹 데이터베이스질의문을 시도해보기에 앞서 귀하의 웹사이트의 수많은 콘텐트에 적용합니다. 구글해킹 특징은 유일한 것이며, 이는 동일 업체 최초로 탑재되어 있는기능입니다.

HTTP 편집기 및 탐지기를 이용한 공격확장
귀하는 http편집기로 HTTP/HTTPS 요청을 구성할 수 있고, 웹 서버 응답을 분석할 수 있습니다.
특별한 SQL injection과 Cross site scripting 공격을 실행하기 위해 이용할 수 있습니다.
HTTP 탐지기로 귀하는 모든 http/https 트래픽의 기록을 남기고, 가로채거나 수정할 수 있고,
귀하의 웹 어플리케이션이 보내고 있는 자료를 완벽히 꿰뚫어 볼 수 있는 통찰력을 가질 수
있습니다.
HTTP Fuzzer - 자동화된 다양한 검사 규칙에 기반한 검사도구
HTTP fuzzer는 귀하가 버퍼 오버 플로우와 입력유효성을 위한 검사를 자동적으로 하기 위한 규칙을 생성하는 것을 허용합니다. 예를 들면, http fuzzer를 이용하면, 귀하는 1 - 999의 숫자를 이용하여 URL가운데 다양한 부분을 대체할 수 있는 규칙을 생성할 수 있습니다. 이러한 방법으로 귀하는 1000개의 질의문을 실행할 수 있으며 이를 통해 의미 있는 결과를 확인하고, 노동집약적 검사와 비교하여 엄청난 시간을 절약할 수 있습니다.
보고서 생성기
보고서 생성기로 귀하는 검출된 취약성들을 구체적으로 명기하고 이러한 취약성들을 해결할 수 있도록 제안할 수 있는 리포트를 빠르게 생성할 수 있습니다. 더욱이 모든 검사 세션은 맞춤 리포트를 생성하기 위한 목적으로 MS-SQL서버나 액세스 데이터베이스에 저장될 수 있습니다.

암호로 보호되는 사이트에 대한 수집
Acunetix 웹 취약성 스캐너는 웹 사이트의 보호되어지는 지역에서 하나 또는 그 이상의 사용자/암호 조합을 가지고 암호를 검사하기 위해 구성되어 질 수 있습니다. 마크로 기록계와 유사하게 동작하는 로그인 시퀀스 도구를 이용하여, 로그아웃 링크와 같이 로그인 시퀀스 도구에서 동작하지 않는 링크를 가지고 있어 검사기가 천천히 동작할 수밖에 없는 경로를 쉽게 구성할 수 있습니다.
자동 HTML 서식 채우기 도구
HTML 서식 채우기 도구는 웹 스캐너가 HTML로 구성된 입력 서식을 접했을 때 귀하가 원하는 내용을 해당 입력 서식에 채울 수 있게 다양한 입력내용을 구성하도록 도와줍니다. 이를 통해 귀하의 웹사이트가 다른 종류의 입력에 대해 어떻게 반응하는지를 자동적으로 검사할 수 있습니다.
그 외의 특징들
- 로그인 페이지의 암호 유효성을 사전공격방법을 시도하여 검사합니다.
- 취약성 편집기에 있는 웹 공격방법을 검사하거나 수정하고 특정한 웹 공격기법을 생성합니다.
- ASP, ASP.NET, PHP 그리고 CGI를 포함한 모든 주요 웹 기술들을 지원합니다.
- 다른 스캔옵션과 스캔 프로파일을 이용하여 다양한 검사에 이용합니다.
- 이전 검사내용과 비교하여 다른 점을 찾아내고, 새로운 취약성을 발견합니다.
- 웹사이트의 변경을 쉽게 재 감사할 수 있습니다.
- 플래쉬 파일들을 분석하여 내용에 포함된 정보를 확인합니다.
- 일상적인 에러페이지를 자동적으로 검출합니다.
- 권한문제가 있는 디렉터리를 발견합니다.
- 웹 서버에 대해 PUT, TRACE, DELETE와 같은 위험한 HTTP 명령의 이용 가능여부를 확인합니다.
- 취약한 제품을 확인하기 위해 HTTP버전 Banner를 점검할 수 있습니다.

국내에서 아큐네틱스 웹 취약성 스캐너를 도입한 곳은 NHN, (주)안랩코코넛, 대우정보시스템(주), 국가보안기술연구소, (주)엑스퍼넷과 (주)아이시큐어 등이며, 이외에도 온라인 게임업체와 온라인결제업체 그리고 다양한 기관에서 도입을 검토하고 있다고 합니다.

외국에서 아큐네틱스 웹 취약성 스캐너를 도입한 곳은, 현재 알려진 바로는 서오스르레일리아 재무부, 미국 지질학 연구소, 페이팔, 메사츄세츠 의료협회, 뉴잉글랜드 저널, EBS CO, Ind. Inc. 셔윈 윌리엄스 컴퍼니 이외에도 많은 기업들이 이용하고 있다고 합니다.