공지사항

HOME > Community > 공지사항

2015.09.09 / 13:04

아큐네틱스 웹 취약성 점검도구 - Review

autodev

추천 수 479

A REAL WORLD REVIEW

MSI::Labs

2006년 5월

아큐네틱스 웹 취약점 점검 도구는?

아큐네틱스 웹 취약점 점검 도구는 웹 애플리케이션에서 보안 허점 – 이는 공격자가 시스템과 데이터로의 불법적인 접근을 획득하기 위해 악용될 수 있습니다 - 을 찾아내기 위해 만들어진 도구입니다. 이는 SQL injection, Cross Site Scripting과 암호 취약점 등을 포함한 다중의 취약점들을 찾아줍니다.

본 제품은 웹과 애플리케이션 취약점을 점검을 실행하기 위해 이용될 수 있고, 확인된 문제점에 대한 모의침투 검사를 실행하기 위해 이용 될 수 있습니다. 각 취약점에 제공되는 완화제안들(mitigation suggestions)은 검사된 웹 서버 또는 애플리케이션의 보안성을 향상시키는데 이용 될 수 있습니다.

본 리뷰는

MicroSolved, Inc는 Real World 테스트에 아큐네틱스를 이용하였습니다. 실제 취약점 평가와 침투 테스트 동안 나타낸 내용으로 검사하였습니다.

본 데스트는 수많은 침투테스트 경험과 광범위한 상용 및 오픈 소스 웹/애플리케이션 점검 도구들에 대한 지식을 겸비한 전문 패널에 의해 실행되었습니다. 테스트 동안, 다수의 웹 사이트가 평가되었습니다. 본 이들 웹 사이트와 본 침투테스트에서 점검항목은 본 리뷰 중 입력값처럼 이용됩니다. 아큐네틱스 웹 취약점 분석도구의 각 기능은 1-5의 척도로 표시되었고, 5가 가장 좋은 점수가 됩니다.

설치 및 업데이트 구조

설치는 바로 진행됩니다. 전형적인 윈도우 설치 절차가 실행 가능하도록 제공됩니다. 설치를 위해 필요한 유일한 입력값은 발급된 라이센스입니다. 본 프로그램은 업데이트 구조를 내장하여 제공하고 있습니다. 아큐네틱스는 프로그램을 재 시작하지 않고도 업데이트된 내용을 적용하는 것이 가능합니다. 아큐네틱스는 시작시 업데이트를 확인하거나 업데이트 기능을 매뉴얼로 이용할 때만 확인할 수 있도록 설정할 수 있는 선택사항을 가지고 있습니다.

점검 도구 설명

점검도구의 인터페이스는 기능에 의해 수행업무가 배분됩니다. 데이터가 도구간에 공유, 복사 그리고 붙여지는 동안, 해당 인터페이스는 웹 애플리케이션 평가 실행과 함께 연계되어 수행 업무를 처리하는 논리적이고 효과적인 방법을 생성합니다. 각각의 고유한 도구와 기능은 다음과 같습니다.

웹 스캐너(Web Scanner):

점검을 시작할 때, 아큐네틱스는 어떤 기술이 이용되는지를 결정하기 위해 빠른 서버 찾기를 수행합니다. 이를 통해 PHP가 이용되고 있다고 확인되면, 아큐네틱스는 PHP 취약점들과 관련된 내용을 점검합니다. 물론 아큐네틱스가 점검해야하는 취약점을 한정하기 위해 사용된 기술을 수동으로 선택할 수도 있습니다. 검사는 대형사이트를 점검하더라고 상당히 빠르게 이루어 집니다.

검사도구는 SQL injection 이용, Cross Site Scripting 취약점, 일반적인 기본 파일(예컨데, manuals, “test” 파일),과 서버의 잘못된 설정(예를 들면, TRACK, TRACE enable)등을 확인합니다. 아큐네틱스의 점검도구는 일반적으로 점검에 이용되는 도구와 같은 역할을 수행하는 것뿐만 아니라, 어떤 경우에는 점검도구 이상의 역할을 수행합니다. 다른 점검도구에 의해 찾아내지 못하는 파일들과 페이지들을 아큐네틱스는 두 배로 찾아냅니다. 아큐네틱스는 SQL injection과 Cross Site Scripting을 찾아 확인할 수 있게하는 최고의 도구 입니다.

자체 제작한 에러페이지를 특정할 수 있게 하는 기능을 통해 오탐도 줄일 수 있습니다. 이는 다른 도구들은 가지고 있지 않은 훌륭한 기능입니다. 본 점검도구는 또한 전자메일과 연결되지 않은 링크와 같은 다른 정보를 발견하고 분류합니다. 일반적으로 침투테스트 동안 웹 페이지에서 전자메일 주소를 뽑아내는 것처럼, 본 도구가 유용하게 전자메일 주소를 수집하는 것을 발견했습니다.

본 점검도구는 속속들이 빠르게 점검하고 다른 점검도구에서 찾을 수 없는 기능들을 가지고 있습니다.

평점: 4.5

웹 수집기(Web Crawler):

스파이더 기능은 웹 사이트를 수집하고 사이트 구조의 계측적인 모양을 보여줍니다. 게다가, 스파이더는 페이지내에서 referrer 페이지, 헤더, 그리고 변수와 같은 정보를 수집합니다. 기본적으로, 해당 도구는 전체 웹사이트를 수집하지만, 원하는 부분만을 선택하여 확장하여 수집하는 것을 제한할 수 있습니다. 본 리뷰를 통해서 해당 수집 도구가 빠르고 대상 사이트의 전체적인 레이아웃을 이해하는데 도움을 주는 정보를 보여준다는 것을 발견했습니다. 하지만, 본 수집기가 대상 사이트의 잘못 구성된 한 부분에 이르러서 루프에 걸려 멈추기도 했습니다. 결함을 확인하기 위해 서너 개의 다른 애플리케이션으로 구성된 대상 사이트를 수집하는데, 그 중 하나는 다시 무한 루프에 걸렸습니다. 공교롭게도 어째서 이러한 문제가 발생하였는지 확인할 수 가 없었으며, 왜 다른 애플리케이션은 문제없이 사이트 수집이 되었는지를 판별할 수 없었습니다. 부족함이 없는 주요 기능과 훌륭한 보기 기능, 그리고 빠른 수집능력으로 인해, 본 리뷰에서 수집기에 4.5개의 별을 주었습니다.

Rating: 4.5

점검 대상 찾기 도구(Target Finder):

대상 찾기 도구는 주어진 주소의 범위에서 웹 사이트를 찾을 수 있게 설계된 간단한 포트 스캐너입니다. 주소의 범위는 한정되지 않았고, 표준포트를 사용하지 않는 웹 사이트를 발견할 수 있게 원하는 포트를 찾아볼 수 있도록 특정할 수 있습니다. 또한 사용중인 웹 서버의 종류를 판별하기 위한 시도도 합니다.

이러한 기능이 가진 몇 가지 서툰 문제점들을 경험했습니다. 점검을 위해 C클래스 주소지의 절반을 지정해 주었을 때, 그곳에 웹 서버가 이미 존재하고 있는 것을 알고 있었지만, 웹 서버를 판별해 내지 못했습니다. 주소지를 감소시킨 경우에, 존재하는 서버를 정확하게 판별했습니다. 대규모 주소지를 범위로 줄 경우 정상적으로 동작할 수 없다는 사실 때문에, 해당 도구에는 2개의 별을 주었습니다.

Rating: 2

HTTP 편집기와 스니퍼(HTTP Editor and Sniffer):

이들 도구는 보고거나 편집하거나 HTTP 요청을 생성할 수 있도록 합니다. 이는 침투 검사자가 서버와 클라이언트 간의 트래픽을 분석하는 것을 허용하도록 설계되었습니다. 이러한 정보로, SQL injection과 Cross Site Scripting 취약점에 대한 공격을 자체적으로 생성하는 것이 가능합니다. 스니퍼는 또한 서버로 보내지기 전 또는 데이터를 받기 전에 데이터를 차단하거나 수정하는 것을 허용하여 클라이언트 단 검증을 우회하는 것을 허용합니다. 이러한 도구는 스캐너가 자동으로 처리하기 어려운 애플리케이션에 깊게 파고들어 가는 것이 가능하게 합니다. 확실히, 이는 본 제품에서 만족스럽게 볼 수 있는 아주 가치있는 기능입니다. 인터페이스는 간소화될 수 있지만, 다른 면에 있어 이는 또 다른 최고 등급을 줄 수 있는 기능입니다.

Rating: 4

HTTP 퓨져(HTTP Fuzzer):

HTTP fuzzer는 편집기 및 sniffer와 관계 있습니다. 하지만, fuzzer는 변수에 문자 주입을 매뉴얼로 하는 대신에 자동으로 주입할 수 있습니다. Fuzzing은 버퍼오버플로우에 대한 브루트 포스 검사를 빠르고 쉽운 방법으로 가능하게 합니다. fuzzer를 위한 선택사항은 다양하며, fuzz 할 수 있는 다양한 형태의 문자열과 캐릭터 스위치를 생성할 수 있도록 합니다. 자동화된 fuzzing을 한번도 시도해 보지 않은 사람이라면 사용자 인터페이스가 약간 혼란스러울 수도 있지만, 매뉴얼에 짧은 자습서가 포함되어 있습니다. 편집기와 스니퍼가 함께라면, 이는 보다 높은 점수를 줄 수 있을만한 또 다른 훌륭한 기능입니다.

Rating: 4

인증 검사 도구(Authentication Tester):

본 기능은 감탄할 만 합니다. 좋은 웹 사이트 인증 브루트 포스 도구가 많이 있지 않아서라는 이유뿐만이 아니라, 본 도구가 정말 잘 동작하기 때문입니다. 본 인증 검사 도구는 HTTP 인증(팝업 박스 형태)과 HTML 입력폼 두 가지를 다 검사할 수 있습니다.

HTTP 인증을 검사할 때, 이는 보다 명확하게 동작합니다. 사용자 이름 목록과 암호 목록 그리고 인증 실패로 되돌려진 에러 역시 선택할 수 있습니다. 이 마지막 옵션은 단지 오탐 만을 전해주는 대신에 비 표준 응답을 주는 사이트에 검사를 할 수 있도록 하기에 중요합니다.

HTML 입력양식은 약간 다릅니다. 아큐네틱스는 양식이 들어있는 페이지를 불러들이고, 어떤 필드가 사용자 이름과 암호인지를 특정할 수 있습니다. 물론 자체 제작된 에러 페이지를 특정할 수도 있습니다. 이는 어떤 에러코드가 아큐네틱스에 전해지는지를 알려줌으로써 마쳐질 수 있고, 또한 리턴 페이지에 포함된 문자열을 검색하여 아큐네틱스에 지정하여 수행할 수도 있습니다. 예를 들어, 해당 페이지가 실패에 대해서 “Login Failed”라고 말한다면, 아큐네틱스에 상응하는 문자열 또는 정규식으로 알려줄 수 있습니다. 이는 자체 제작한 에러메시지를 이용하는 페이지가 많아질수록 더욱 엄청나게 많은 오탐을 줄일 수 있습니다.

전반적으로 해당 인증 검사도구는 본 제품에 더해져 아주 훌륭하다 할 수 있습니다. 이것과 더불어 찾아보고 싶은 몇몇 기능이 더 있지만, 이들은 더 많은 영향을 주지 못하는 기능들 입니다.

Rating: 4

보고서 기능(Reporting Capabilities)

보고서는 충분할 만큼 제공됩니다. 본 보고서는 잘 정리되어 있고, 쉽게 읽을 수 있으며, 중요하지 않은 취약점들에 대해 부적당한 등급을 주지 않았습니다. 전반적인 취약점은 다른 많은 점검도구 중에서도 불합리한 공포나 행동을 조장하지 않을 만큼 일반적인 사례처럼 보여집니다. 하지만, 보고서는 HTML 형태의 문서로만 저장될 수 있습니다. Acunetix는 XML과 같은 다른 형태로 바꿔줄 수 있는 직접적인 방법을 가지고 있지 않고, 입력된 데이터를 다른 보다 확장된 보고서 도구로 전해줄 방법도 없습니다. 기본적으로, 아큐네틱스는 모든 데이터를 MS Access 데이터베이스에 저장할 수 있습니다. 혹시 마이크로소프트 액세스를 이용할 수 있다면, 수많은 다른 형태로 전해줄 수 있습니다. 보고서는 간결하지만, HTML 형태가 아닌 데이터로 전할 직접적인 방법이 없어, 사용자가 필요로 하는 보고서에 의해 결정되는 이들에게는 문제가 될 수 도 있습니다.

전반적인 제품 평점

상당한 기능, 사용 편의성 그리고 빠른 처리능력으로, 아큐네틱스에 별 4개의 전반적인 평점을 주었습니다.

장점:

+ 빠른 점검 기능

+ 자체제작 에러 페이지들에 대한 특정 기능

+ 하나의 애플리케이션에 조합된 많은 도구들

+ 높은 취약점 탐지율

+ 중요하지 않은 취약점에 대한 적절한 위협 분류

단점:

- 다양하게 제공 되지 못하는 보고기능
- 대상 점검 도구에 버그가 있어 보임
- 몇몇 인터페이스 트윅을 사용할 수 있음

요약

아큐네틱스는 웹 사이트의 취약점을 완벽하게 찾아볼 수 있도록 제공되는 완벽한 도구들의 모음을 포함한 하나의 애플리케이션을 만들기 위해 노력했습니다. 전반적으로, 아큐네틱스는 이러한 목표를 이루었지만, 다이아몬드처럼 빛나는 완전한 패키지로 만들기 위해 제품의 중요하지 않은 기능에 어느 정도 노력을 가해 그 빛을 더하게 할 수 있었습니다.

앞으로 개선을 위한 제안

아큐네틱스는 이미 강력한 도구이자 제품이지만, 몇몇 중요하지 않은 부가적인 기능을 통해 이미 훌륭한 도구로 향상할 수 있었습니다. 본 리뷰를 통해 몇 가지 포함돼야 하거나 바뀌어야 할 소소한 부분을 발견했습니다. 사용자 인터페이스가 친 사용자적이고, 이용에 편리함에도 불구하고 사용자 인터페이스는 조금 손볼 필요가 있으며, 특별히 fuzzer의 경우가 그렇습니다. 인증 검사도구의 경우, HTML 브루트 포싱을 하는 동안 사용자 이름 없이 암호만을 지정할 수 없었습니다. 암호 입력만이 요구되는 몇몇 “관리자” 웹 페이지에 실행해 보았습니다만, 해당 페이지를 브루트 포스 할 방법을 찾아내지 못했습니다. 게다가, 타임아웃 기간과 다중 처리를 바꾸는 방법 역시 환영 받을 수 있는 추가사항입니다. 이를 통해 점검 속도의 증가가 제공될 것입니다. 수집기에서, 수집되는 링크의 depth를 제한하기 위한 것은 유리할 수 있습니다. 이는 수집기가 무한루프에 빠져 발생하는 문제에 대한 대안을 제공할 수 있을 것 입니다.

현재 아큐네틱스 웹 취약성 분석 도구는 (주)아이시큐어에서 제품에 관한 모든 기술지원과 판매를 담당하고 있습니다. 제품 BMT도 잘 해주는 편인거 같던데.. ^^

지난달에 버전 4로의 메이저 업그레이드가 있었는데, 년 말경에 버전 5혹은 버전 4.5로의 메이저 업그레이드가 있을 예정이라고 합니다. 이번에 예정되는 업그레이는 각종 도구들의 성능과 정확도 향상 그리고 리포팅 도구의 개선이라고 하더군요.

궁금하신 사항이 있으시다면 확인해 보시는 것도.. 도움이 될거 같습니다.

Acunetix는 (from www.acunetix.com)

Securing a company's web applications is today's most overlooked aspect of securing the enterprise. Web applicationhacking is on the rise with as many as 75% of cyber attacks done at web application level or via the web. Most corpo-rations have secured their data at the network level, but have overlooked the crucial step of checking whether theirweb applications are vulnerable to attack. Web applications, which often have a direct line into the company's most valuable data assets, are online 24/7, completely unprotected by a firewall and therefore easy prey for attackers.

Acunetix was founded with this threat in mind. They realized the only way to combat web site hacking was to de-velop an automated tool that could help companies scan their web applications for vulnerabilities. In July 2005, Acu-netix Web Vulnerability Scanner was released -a tool that crawls the website for vulnerabilities to SQL injection, cross-site scripting and other web attacks before hackers do.

The Acunetix development team consists of highly experienced security developers who have each spent years de-veloping network security scanning software prior to starting development on Acunetix WVS. The managementteam is backed by years of experience in marketing and selling security software.

Acunetix is a privately held company with its offices in the US, Malta and the UK.

MicroSolved, Inc.은

MicroSolved, Inc. was founded in 1992 by L. Brent Huston. MSI was created to provide solutions that empower organizations to mitigate risks and create privacy while maintaining the practice of doing business in the online world. The projects MSI engages in range from managed security services to unique solutions crafted to answer complex security problems. Our work includes protecting the largest government and commercial networks in the world.

MSI’s public work includes engagements on the Federal, State, and local level. Our work with the federal govern-ment includes protecting some of our nation’s most sensitive networks, working to secure some of the largest HIPAAnetworking concerns, and working with federal auditing agencies to help them implement an auditing process thateffects real world security. MSI has received accolades for its work for the U.S. government, and has even testified before congress.

MSI’s work in the commercial sector includes a wide variety of vertical markets. MSI enjoys long-term relationshipswith some of the world’s largest financial and telecom providers. Our work with various regulations including GLBAand HIPAA has made us an obvious choice for financial and healthcare organizations of all sizes. In the commercialsector our work ranges from the fortune 50 to working within the budget needs of small businesses.

What we’re most proud of, however, is our work for the community. MSI has sponsored and contributed to variousopen source initiatives. We’ve contributed intellectual capital pro bono to various working groups and security orga-nizations.

Our goal with each engagement is to preach security philosophy, transfer knowledge to client stakeholders, and to build a long-term relationship steeped in trust, understanding, and open communication.

< Prev 아큐네틱스 WVS V5 리뷰 -1

아큐네틱스 웹 취약성 스캐너에 대해서 Next >

♥