¾ÆÅ¥³×ƽ½º WVS V5 ¸®ºä -1
Jason Lee
¾ÆÅ¥³×ƽ½º
À¥
Ãë¾àÁ¡
Á¡°Ëµµ±¸ÀÎ WVS´Â?
À¥ Ãë¾àÁ¡ Á¡°Ëµµ±¸ÀÎ
WVS´Â ¾ÇÀÇÀûÀÎ °ø°ÝÀÚ°¡ ½Ã½ºÅÛ°ú µ¥ÀÌÅÍ·ÎÀÇ ºÒ¹ýÀûÀÎ Á¢±ÙÀ» ȹµæÇϱâ À§ÇØ ¾Ç¿ëÇÒ ¼ö ÀÖ´Â À¥ ¾ÖÇø®ÄÉÀ̼ÇÀÇ º¸¾È ÇãÁ¡À» ã¾Æ³»±â À§ÇØ ¸¸µé¾îÁø µµ±¸ÀÔ´Ï´Ù. ÀÌ´Â SQL
Injection, Cross Site Scripting, ¾ÏÈ£Ãë¾àÁ¡ ¹×
WebDev ¿É¼ÇÀÇ »óȲ µîÀ» Æ÷ÇÔÇÑ ´ÙÁßÀÇ ¾ÖÇø®ÄÉÀÌ¼Ç ¹× ÀÎÇÁ¶ó½ºÆ®·°Ã³ÀÇ Ãë¾àÁ¡À» ã¾Æ³»µµ·Ï µµ¿òÀ» ÁÝ´Ï´Ù.
º» Á¦Ç°Àº À¥°ú ¾ÖÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡À» Á¡°ËÇϵµ·Ï ÀÌ¿ëµÉ ¼ö ÀÖ°í, È®ÀÎµÈ ¹®Á¦Á¡¿¡ ´ëÇÑ ¸ðÀÇħÅõÅ×½ºÆÃÀ» ½ÇÇàÇϵµ·Ï ÀÌ¿ëµÉ ¼öµµ ÀÖ½À´Ï´Ù. ¹ß°ßµÈ °¢ Ãë¾àÁ¡¿¡ Á¦°øµÇ´Â ¼öÁ¤ ±Ç°í¾ÈÀº °Ë»çµÈ À¥ ¾ÖÇø®ÄÉÀ̼ǰú ÀÎÇÁ¶ó½ºÆ®·°Ã³ÀÇ º¸¾È¼ºÀ» Çâ»ó½ÃÅ°´Âµ¥ µµ¿òÀ» ÁÙ ¼ö ÀÖ½À´Ï´Ù.
º»
¸®ºä´Â
º¸¾È Àü¹®°¡ÀÌÀÚ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ¹× °¨»çµµ±¸ÀÇ ÄÁ¼³ÆÃÀ» ¼öÇàÇÏ´Â
Jason Lee°¡ ´Ù¾çÇÑ Å×½ºÆ® »çÀÌÆ®ÀÇ °ËÁõÀ» ÅëÇØ ¾ÆÅ¥³×ƽ½ºÀÇ »ç¿ë¹ý°ú ±â´ÉÀ» È®ÀÎÇÏ¿´½À´Ï´Ù. ½ÇÁ¦ Ãë¾àÁ¡ Æò°¡¿Í ħÅõ Å×½ºÆ® µ¿¾È ³ªÅ¸³ ³»¿ëÀ¸·Î °Ë»ç¸¦ ÁøÇàÇÏ¿´½À´Ï´Ù.
º» Å×½ºÆ®¿¡ ¸¹Àº Àü¹®ÆгÎÀÌ Âü¼®ÇÏÁö ¸øÇÑ °Í¿¡ ´ëÇؼ´Â ¾ÈŸ±õ°Ô »ý°¢ÇÏ°í ÀÖÁö¸¸,
ÇØ´ç ¸®ºä´Â Ÿ Á¦Ç°°úÀÇ ºñ±³¸¦ ÅëÇؼ ¾ó¸¶³ª ¸¹Àº ¿ÀŽ(False Positive) ¹× ¹ÌŽ(False Negative)ÀÌ ¹ß»ýÇÏ´ÂÁö¸¦ È®ÀÎÇÔÀ¸·Î½á °³¼±µÈ ¼º´É°ú ÆíÀǼºÀ» È®ÀÎÇÒ ¼ö ÀÖ°Ô µÉ °ÍÀÔ´Ï´Ù. ÇØ´ç Å×½ºÆ®´Â ¾ÆÅ¥³×ƽ½ºÀÇ Å×½ºÆ® À¥ »çÀÌÆ®¿Í ½ºÆÄÀÌ´ÙÀ̳ª¹Í½ºÀÇ Å×½ºÆ® À¥ »çÀÌÆ® ±×¸®°í ¿öÄ¡ÆÄÀ̾îÀÇ Å×½ºÆ® À¥ »çÀÌÆ®¸¦ ÅëÇؼ ÁøÇàÀÌ µÇ¾úÀ¸¸ç,
¾ÆÅ¥³×ƽ½º À¥ Ãë¾àÁ¡ ºÐ¼® µµ±¸ÀÇ °¢ ±â´ÉÀº
1-5ÀÇ Ã´µµ·Î Ç¥½Ã°¡ µÇ¾ú°í,
5°¡ °¡Àå ÁÁÀº Á¡¼ö°¡ µÇ°Ú½À´Ï´Ù.
¼³Ä¡
¹×
¾÷µ¥ÀÌÆ®
±¸Á¶
¼³Ä¡´Â ¹Ù·Î ÁøÇàµË´Ï´Ù. ÀüÇüÀûÀÎ À©µµ¿ì ¼³Ä¡ ÀýÂ÷·Î ½ÇÇà °¡´ÉÇϵµ·Ï Á¦°øµË´Ï´Ù. ¼³Ä¡¸¦ À§ÇØ ÇÊ¿äÇÑ À¯ÀÏÇÑ ÀԷ°ªÀº »ç¿ëÀÚ Á¤º¸¿Í ¹ß±ÞµÈ ¶óÀ̼¾½º Å° ÀÔ´Ï´Ù. º» ÇÁ·Î±×·¥Àº ¾÷µ¥ÀÌÆ® ±¸Á¶¸¦ Á¦°øÇÏ°í ÀÖÀ¸¸ç,
¾ÆÅ¥³×ƽ½º´Â ¼³Á¤À» ÅëÇØ ½ÃÀÛ ½Ã ¾÷µ¥ÀÌÆ®¸¦ È®ÀÎÇϰųª ¾÷µ¥ÀÌÆ® ±â´ÉÀ» ¼öµ¿À¸·Î ÇÊ¿ä ½Ã¿¡¸¸ È®ÀÎÇÒ ¼ö ÀÖµµ·Ï ÇÒ ¼ö ÀÖ½À´Ï´Ù.
Á¡°Ë
µµ±¸ÀÇ
¼³¸í
Á¡°Ë µµ±¸ÀÇ »ç¿ëÀÚ ÀÎÅÍÆäÀ̽º´Â ±â´É¿¡ ÀÇÇØ ¼öÇà °¡´ÉÇÑ ¾÷¹«¸¦ ºÐ¹èÇÏ°í ÀÖ½À´Ï´Ù. µ¥ÀÌÅÍ°¡ °¢ µµ±¸°£¿¡¼ °øÀ¯,
º¹»ç,
¹× ºÙ¿©Áö´Â µ¿¾È,
ÇØ´ç ÀÎÅÍÆäÀ̽º´Â À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Æò°¡ ½ÇÇà°ú ÇÔ²² ¿¬°èµÇ¾î ¼öÇà¾÷¹«¸¦ ó¸®ÇÏ´Â ¹æ¹ýÀ» ÅëÇØ ³í¸®ÀûÀÌ°í È¿°úÀûÀÎ Á¡°ËÀ» ÁøÇàÇÒ ¼ö ÀÖ½À´Ï´Ù. °¢°¢ÀÇ µµ±¸ÀÇ ³»¿ë°ú °íÀ¯ÇÑ ±â´ÉÀº ´ÙÀ½°ú °°½À´Ï´Ù.
±×¸²
1. WVSÀÇ
Ãʱâ
ȸé
Á¡°Ë ¸¶¹ý»ç(Scan Wizard):
Á¡°Ë ¸¶¹ý»ç´Â ¾ÆÅ¥³×ƽ½º¿¡¼ Á¦°øÇÏ´Â Á¡°Ë ¼³Á¤À» ¼Õ½±°Ô ÁøÇàÇÒ ¼ö ÀÖ´Â ±â´ÉÀ» Á¦°øÇÕ´Ï´Ù.
ÇØ´ç Á¡°Ë ¸¶¹ý»ç¿¡¼´Â
Á¡°Ë
´ë»ó
ÀÔ·Â,
ÀÔ·Â
´ë»ó
Áß
Á¡°Ë
´ë»ó
¼±ÅÃ
¹×
±â¹Ý
񃬣
È®ÀÎ
¹×
¼±ÅÃ,
»çÀÌÆ®
¼öÁý
¿É¼Ç
¼³Á¤,
Á¡°Ë
¿É¼Ç
¼³Á¤,
·Î±×ÀÎ
±â·Ï,
¼³Á¤
³»¿ë
È®ÀÎÀ» ÇÒ ¼ö ÀÖµµ·Ï Á¤¸®°¡ µÇ¾î ÀÖ½À´Ï´Ù.
´ÙÀ½ÀÇ È¸éÀ» ÅëÇؼ °£·«ÇÏ°Ô ÇØ´ç ³»¿ëÀ» È®ÀÎÇϽñ⠹ٶø´Ï´Ù.
±×¸²
2. Á¡°Ë
´ë»ó
ÀÔ·Â
À§ÀÇ ±×¸² 2.
´Â Á¡°Ë ´ë»ó ÀÔ·ÂÀ» ÇÒ ¼ö ÀÖ´Â ´Ü°èÀ̸ç,
Á¡°ËÇϱ⠿øÇÏ´Â ´ë»ó¿¡ ´ëÇÑ ´Ù¾çÇÑ Á¤ÀǸ¦ ÇÒ ¼ö ÀÖ½À´Ï´Ù.
l Scan
single website:
ÀÌ´Â ÇϳªÀÇ Á¡°Ë ´ë»ó¿¡ ´ëÇÑ ¼³Á¤À» ÇÒ °æ¿ì¿¡ ÀÌ¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù. µµ¸ÞÀΠȤÀº IP
ÁÖ¼Ò¸¦ ÀÔ·ÂÇÒ ¼ö ÀÖ½À´Ï´Ù. (¿¹) http://testasp.acunetix.com ¶Ç´Â http://80.237.198.237
l Scan
using saved crawling results:
ÀÌ´Â ÀÌÀü¿¡ ¼öÁýÇÑ Á¡°Ë ´ë»ó »çÀÌÆ®¿¡ ´ëÇÑ ¼öÁýÆÄÀÏ(.cwl)À» ºÒ·¯µé¿©¼ Á¡°ËÀ» ÁøÇàÇÒ ¼ö ÀÖ½À´Ï´Ù.
l Scan
a list of websites from a file:
ÀÌ´Â ¿©·¯ °³ÀÇ Á¡°Ë ´ë»ó¿¡ ´ëÇÑ ¼³Á¤À» Çѹø¿¡ ÁøÇàÇÏ´Â °æ¿ì¿¡ ÀÌ¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù. ÅؽºÆ® ÆÄÀÏÀ» »ý¼ºÇÏ¿©,
¿©±â¿¡ ¼øÂ÷ÀûÀ¸·Î Á¡°Ë´ë»óÀÌ µÇ´Â µµ¸ÞÀΠȤÀº IP
ÁÖ¼Ò¸¦ ±âÀÔÇÏ°í À̸¦ ÀúÀåÇÏ¿©,
ÀÌ°÷¿¡¼ ÀúÀåµÈ.
txtÆÄÀÏÀ» ºÒ·¯µé¿© Á¡°ËÀ» ÁøÇàÇÒ ¼ö ÀÖ½À´Ï´Ù.
l Scan
a range of computer looking for websites:
ÀÌ´Â ÀÏ·ÃÀÇ ³×Æ®¿öÅ© ´ë¿ª¿¡¼ À¥ ¼ºñ½º¸¦ ÇÏ°í ÀÖ´Â ¼¹ö¸¦ ´ë»óÀ¸·Î Á¡°ËÀ» ÁøÇàÇÏ°íÀÚ ÇÒ ¶§ ÀÌ¿ëÇÒ ¼ö ÀÖ½À´Ï´Ù. ÀÌ °æ¿ì,
ºÒƯÁ¤ ´Ù¼öÀÇ À¥ ¼¹ö ¹× ¼ºñ½º¸¦ ¼öÁýÇÏ¿© Á¡°Ë ´ë»óÀ¸·Î »ï½À´Ï´Ù. (¿¹) IP
range: 192.168.0.1-30, List of Ports:
80,443,8080
±×¸²
3. ÀÔ·Â
´ë»ó
Áß
Á¡°Ë´ë»ó
¼±ÅÃ
¹×
±â¹Ý±â¼ú
È®ÀÎ
¹×
¼±ÅÃ
À§ÀÇ ±×¸²
3¿¡¼´Â ÀÔ·ÂÇÑ Á¡°Ë ´ë»ó ȤÀº ´ë»óµéÀÇ ¸®½ºÆ®¸¦ È®ÀÎÇÒ ¼ö ÀÖÀ¸¸ç,
°¢°¢ ÀÔ·ÂÇÑ Á¡°Ë ´ë»óÀÇ ±â¹Ý ±â¼úÀ» È®ÀÎÇÏ°í Ãß°¡ÇÒ ¼ö ÀÖÀ¸¸ç,
È®ÀÎµÈ Á¡°Ë ´ë»óµéÀ» ¼±º°ÇÒ ¼ö ÀÖ½À´Ï´Ù. º¸¿©Áö´Â ³»¿ëó·³,
À¥ ¼ºñ½ºÀÇ ¶óÀ̺ê È®ÀÎ,
À¥ ¼¹ö Á¾·ù È®ÀÎ,
¿î¿µÃ¼Á¦ È®ÀÎ,
±×¸®°í »ç¿ëµÇ´Â ±â¼úÀ» È®ÀÎÇÏ°í ¼±º°ÇÒ ¼ö ÀÖ½À´Ï´Ù.
±×¸²
4. »çÀÌÆ®
¼öÁý
¿É¼Ç
¼³Á¤
À§ÀÇ ±×¸²
4´Â À¥ »çÀÌÆ®¿¡¼ ¸µÅ©¸¦ ¼öÁýÇÏ´Â Å©¶ó¿ï·¯ÀÇ ¼³Á¤À» À§ÇÑ È¸éÀÔ´Ï´Ù. ÀÌÀü ¹öÀü°ú Â÷ÀÌÁ¡À̶ó¸é ½ºÄµ¿É¼Ç¿¡ ÀÖ´Â »çÀÌÆ®¼öÁý ¿É¼ÇÀÌ ºÐ¸®µÇ¾ú´Ù´Â °Í°ú ºÐ¸®µÈ »çÀÌÆ®¼öÁý¿É¼Ç¿¡ »çÀÌÆ® ¼öÁý ÈÄ Á¡°ËÇÒ ÆÄÀÏÀ» ¼±º°ÇÒ ¼ö ÀÖ´Â ¿É¼ÇÀÌ Ãß°¡µÇ¾ú´Ù´Â °ÍÀÔ´Ï´Ù.
±×¸²
5. Á¡°Ë
¿É¼Ç¼³Á¤
â
À§ÀÇ ±×¸²
5´Â Á¡°Ë ¿É¼ÇÀ» ¼³Á¤ÇÒ ¼ö Àִ âÀ¸·Î,
¾Õ¼ ¼³¸íÇÑ ±×¸²
4¿Í ÇØ´ç ´Ü°èÀÇ ÀϺΠ³»¿ëÀÌ ÀÌÀü¹öÀü¿¡¼´Â ´ÜÀÏ ´Ü°è·Î ÇÔ²² Á¦°øµÇ¾ú½À´Ï´Ù. ÀÌ°÷¿¡¼´Â Á¡°Ë ÇÁ·ÎÆÄÀÏÀ» ¼±ÅÃÇϰųª,
Á¡°Ë ¿É¼ÇÀ» ¼±ÅÃÇÒ ¼ö ÀÖ°Ô µÇ¾îÀÖ½À´Ï´Ù.
Scan OptionÀº ¹öÀü 5¿¡¼ »õ·ÎÀÌ Ãß°¡µÈ ºÎºÐÀ¸·Î¼, Quick, Heuristic, Extensive¶ó´Â 3´Ü°èÀÇ Á¡°Ë ¼±ÅûçÇ×ÀÌ µé¾î°¡ ÀÖ½À´Ï´Ù. ¶ÇÇÑ HTTP Çì´õ¸¦ Á¶ÀÛÇϰųª XSS°¡ »ðÀÔµÈ ºÎºÐÀÌ ÀÖ´ÂÁö È®ÀÎÇÒ ¼ö ÀÖ´Â ¿É¼ÇÀÌ Ãß°¡µÇ¾ú½À´Ï´Ù.
Á¡°Ë ¸ðµå(Scanning Mode)
* Quick: ¸ðµç ÆĶó¸ÞÅÍ¿¡¼ ¿ÀÁ÷ ù¹ø° °ª¸¸À» Á¡°ËÇÏ°Ô µË´Ï´Ù.
* Heuristic: ºÐ¼®µµ±¸°¡ ¾î¶² ÆĶó¸ÞÅÍ°¡ º¹ÀâÇÑ °Ë»ç°¡ ¿ä±¸µÇ´ÂÁö¸¦ ÀÚµ¿ÀûÀ¸·Î °áÁ¤ÇÏ°í ½ÃµµÇÏ°Ô µË´Ï´Ù.
* Extensive: ¸ðµç ÆĶó¸ÞÅÍ¿¡ ´ëÇÑ °¡´ÉÇÑ ¸ðµç Á¶ÇÕÀÌ °Ë»çµÇ°Ô µË´Ï´Ù. ¸¹Àº ÆĶó¸ÞÅÍ¿Í ÆĶó¸ÞÅÍ Á¶ÇÕÀÌ ÀְԵȴٸé, ÇØ´ç ¸ðµå¿¡¼´Â ±²ÀåÈ÷ ¸¹Àº ¼öÀÇ HTTP¿äûÀ» »ý¼ºÇÏ°Ô µË´Ï´Ù.
Á¡°Ë¼Óµµ: Quick>Heuristic>Extensive
Á¡°Ë±íÀÌ: Quick<Heuristic<Extensive
±×¸²
6. ·Î±×ÀÎ
±â·Ï
ÀÌ´Â ´Ü¼øÇÑ ÀÎÁõÀ̳ª º¹ÀâÇÑ ÀÎÁõ°úÁ¤ÀÌ ÇÊ¿äÇÑ À¥ »çÀÌÆ®¿¡ ´ëÇÑ Á¡°Ë¿¡ »ç¿ëµÇ´Â ·Î±×ÀÎ ¿äûÀ» ±â·ÏÇÏ´Â µµ±¸·Î¼ ·Î±×Àο¡ ´ëÇÑ ±â·ÏÀ¸·Î À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Á¡°Ë ½Ã ÀÎÁõ¿¡ ´ëÇÑ ºÎºÐÀ» ó¸®Çϵµ·Ï ÀÌ¿ëµÇ°í ÀÖ½À´Ï´Ù.
ÇÏÁö¸¸ ÀÌÀü°ú µ¿ÀÏÇÏ°Ô ·Î±×¾Æ¿ô¿¡ ´ëÇÑ ºÎºÐÀ» ¾ÆÁ÷µµ ¼öµ¿À¸·Î ó¸®ÇØ ÁÖ¾î¾ß¸¸ ÇÕ´Ï´Ù.
±×¸²
7. ¼³Á¤
³»¿ë
È®ÀÎ
¹×
Á¡°Ë
½ÇÇà
À¥ ½ºÄ³³Ê(Web
Scanner):
Á¡°ËÀ» ½ÃÀÛÇÒ ¶§,
¾ÆÅ¥³×ƽ½º´Â ¾î¶² ±â¼úÀÌ À¥ ¼¹ö¿¡¼ ÀÌ¿ëµÇ´ÂÁö¸¦ °áÁ¤Çϱâ À§ÇØ ºü¸¥ ¼¹ö °Ë»ç¸¦ ½ÇÇàÇÕ´Ï´Ù. À̸¦ ÅëÇؼ
ASP°¡ À¥ ¼¹ö¿¡¼ ÀÌ¿ëµÇ°í ÀÖ´Ù°í È®ÀεǸé,
¾ÆÅ¥³×ƽ½º´Â ASP
Ãë¾àÁ¡µé°ú °ü·ÃµÈ ³»¿ëÀ» Á¡°ËÇÕ´Ï´Ù. ¹°·Ð ¾ÆÅ¥³×ƽ½º°¡ Á¡°ËÇØ¾ß ÇÏ´Â Ãë¾àÁ¡À» ÇÑÁ¤Çϱâ À§Çؼ »ç¿ëµÈ ±â¼úÀ» ¼öµ¿À¸·Î ¼±ÅÃÇϰųª Á¡°Ë Á¤Ã¥À» ´Ù½Ã ÇÁ·ÎÆÄÀϸµÇÏ¿© Á¦ÇÑµÈ Á¡°ËÀÌ ÀÌ·ç¾îÁöµµ·Ï ÀÛ¾÷ÇÒ ¼ö µµ ÀÖ½À´Ï´Ù.
±×¸²
8. ˴
½ºÄ³³ÊÀÇ
Á¡°Ë
ÁøÇàȸé
Á¡°Ë µµ±¸´Â SQL
Injection °¡¿ë¼º,
Cross Site Scripting Ãë¾àÁ¡ ȤÀº ħÇØÈ®ÀÎ µîÀÇ Ãë¾àÁ¡ Á¡°Ë°ú ÀϹÝÀûÀÎ ±âº» ÆÄÀÏ(¿¹ÄÁ´ë
¡°manuals¡±, ¡°test¡± ÆÄÀÏ)°ú ¼¹öÀÇ À߸øµÈ ¼³Á¤(¿¹ÄÁ´ë,
TRACK, TRACE Enable)µîÀ» È®ÀÎÇÕ´Ï´Ù. ¾ÆÅ¥³×ƽ½º¿¡¼ Á¦°øµÇ´Â Á¡°Ëµµ±¸´Â ÀϹÝÀûÀ¸·Î Á¡°Ë¿¡ ÀÌ¿ëµÇ´Â µµ±¸¿Í °°Àº ¿ªÇÒÀ» ¼öÇàÇÏÁö¸¸,
¾î¶² °æ¿ì¿¡´Â ´Ü¼øÇÑ Á¡°Ëµµ±¸ ÀÌ»óÀÇ ¿ªÇÒÀ» ¼öÇàÇÒ ¼ö ÀÖ½À´Ï´Ù. ´Ù¸¥ Á¡°Ëµµ±¸¿¡ ÀÇÇØ Ã£¾Æ³»Áö ¸øÇÏ´Â ÆÄÀϵé°ú ÆäÀÌÁöµéÀ» ¾ÆÅ¥³×ƽ½º´Â ã¾Æ³»±âµµ ÇÕ´Ï´Ù. ÀÌÀü ¹öÀüÀÇ Á¦Ç°°ú ¸¶Âù°¡Áö·Î ¾ÆÅ¥³×ƽ½º´Â SQL
Injection°ú
Cross Site ScriptingÀ» ã¾Æ È®ÀÎÇÒ ¼ö ÀÖ°Ô ÇÏ´Â ÃÖ°íÀÇ µµ±¸ Áß Çϳª¶ó°í ¸»ÇÒ ¼ö ÀÖ½À´Ï´Ù.
Á¡°Ë ¼³Á¤ ¸¶¹ý»ç¿¡¼´Â Á¦°øÇÏÁö ¾ÊÁö¸¸,
¼³Á¤¸Þ´º¿¡¼´Â ¼µåÆÄƼ ȤÀº °í°´µéÀÌ ÀÚü Á¦ÀÛÇÑ ¿¡·¯ÆäÀÌÁö¸¦ ƯÁ¤ÇÒ ¼ö ÀÖ°Ô ÇÏ´Â ±â´ÉÀ» ÅëÇؼ ÀÚµ¿ÈµÈ À¥ Ãë¾àÁ¡ ºÐ¼®µµ±¸°¡ °®´Â ¿ÀŽÀ²µµ ÁÙÀÏ ¼ö ÀÖ½À´Ï´Ù. ÀÌ´Â ¸î¸î Áøº¸µÈ µµ±¸¸¸ÀÌ °¡Áö°í Á¦°øÇÒ ¼ö ÀÖ´Â ¶Ù¾î³ ±â´ÉÀÔ´Ï´Ù. ¶ÇÇÑ º» Á¡°Ë µµ±¸´Â ÀüÀÚ¸ÞÀÏ ÁÖ¼Ò¿Í ¿¬°áÀÌ ²÷°ÜÁø ¸µÅ©¿Í °°Àº ÀϹÝÁ¤º¸ ¹× »çÀÌÆ® Á¤º¸¸¦ ¹ß°ßÇÏ°í ºÐ·ùÇÒ ¼ö ÀÖ½À´Ï´Ù. ÀϹÝÀûÀ¸·Î ¸ðÀÇ Ä§Åõ Å×½ºÆ®¸¦ ÁøÇàÇÏ´Â µ¿¾È À¥ ÆäÀÌÁö¿¡¼ ÀüÀÚ¸ÞÀÏ ÁÖ¼Ò¸¦ ÃßÃâÇÏ´Â °Íó·³,
º» µµ±¸´Â À¯¿ëÇÏ°Ô ÀüÀÚ¸ÞÀÏ ÁÖ¼Ò¸¦ ¼öÁýÇÒ ¼ö ÀÖ½À´Ï´Ù.
º» µµ±¸ÀÇ À¥ ½ºÄ³³Ê´Â ¼Ó¼ÓµéÀÌ ºü¸£°Ô À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» Á¡°ËÇÏ°í ´Ù¸¥ Á¡°Ëµµ±¸¿¡¼ ãÀ» ¼ö ¾ø´Â Ư»ö ÀÖ´Â ±â´ÉÀ» °¡Áö°í ÀÖ½À´Ï´Ù.
ÇÏÁö¸¸,
±âº»ÀûÀ¸·Î ÀÌÀü ¹öÀü°ú µ¿ÀÏÇÑ Á¡°Ë ¿£Áø»óÀÇ ¹®Á¦Á¡À» ÇØ°áÇÏÁö ¸øÇÑ °ü°è·Î,
µ¥ÀÌÅͺ£À̽º¿¡ ´Ù·®ÀÇ ·Î±×¸¦ ³²±â°Å³ª,
Æû ¸ÞÀÏ·¯¸¦ ÅëÇÑ ´Ù·®ÀÇ ¸ÞÀÏ ¹ß¼Û°ú ·Î±×ÀÎ Á¤º¸¸¦ ´Ù·®À¸·Î ¹ß»ýÇÏ¿´°í,
ÀÌÀü ¹öÀüº¸´Ùµµ ´õ ´À¸° Á¡°Ë ¼Óµµ·Î ÀÎÇØ ÆòÁ¡À» ³·Ãß°Ô µÇ¾ú½À´Ï´Ù.
ÆòÁ¡
3.0
À¥ »çÀÌÆ® ¼öÁý±â(Web
Crawler):
±×¸²
9. ˴
»çÀÌÆ®
¼öÁý±âÀÇ
¼öÁý
ÁøÇàȸé
À¥ »çÀÌÆ® ¼öÁý±â´Â À¥ »çÀÌÆ®¿¡ ÀÖ´Â ¸µÅ©¸¦ ¼öÁýÇÏ°í »çÀÌÆ® ±¸Á¶ÀÇ °èÃþÀûÀÎ ¸ð¾çÀ» º¸¿©ÁÖ°Ô µË´Ï´Ù. ±×¸®°í,
¼öÁý±â¿¡¼ ÀÌ¿ëµÇ´Â ½ºÆÄÀÌ´õ´Â ÆäÀÌÁö ³»¿¡¼
referrer ÆäÀÌÁö,
Çì´õ,
±×¸®°í º¯¼ö¿Í °°Àº Á¤º¸¸¦ ¼öÁýÇÏ°Ô µË´Ï´Ù. ±âº»ÀûÀ¸·Î º» µµ±¸´Â Àüü À¥ »çÀÌÆ®¸¦ ¼öÁýÇÑ´Ù°í º¼ ¼ö ÀÖÁö¸¸,
¿øÇÏ´Â ºÎºÐ¸¸À» ¼±ÅÃÇϰųª È®ÀåÇÏ¿© ¼öÁýÇÏ´Â °ÍÀ» Á¦ÇÑÇÒ ¼ö ÀÖ½À´Ï´Ù. º» ¸®ºä¸¦ ÅëÇؼµµ ÀÌÀü¿¡ ÇØ´ç ºí·Î±×¿¡¼ ¹àÈù ¹Ùó·³,
WVSÀÇ ¼öÁýµµ±¸°¡ ºü¸£°í ´ë»ó »çÀÌÆ®ÀÇ ÀüüÀûÀÎ ·¹À̾ƿôÀ» ÀÌÇØÇϴµ¥ µµ¿òÀ» ÁÖ´Â Á¤º¸¸¦ º¸¿©Áشٴ °ÍÀ» ¹ß°ßÇß½À´Ï´Ù¸¸,
ÀÌÀü ¹öÀü°ú µ¿ÀÏÇÏ°Ô,
º» ¼öÁý±â´Â ƯÁ¤ »çÀÌÆ®ÀÇ À߸ø ±¸¼ºµÈ ÇÑ ºÎºÐ¿¡ À̸£·¯¼ ·çÇÁ¿¡ °É·Á ¸ØÃ߱⵵ Çß½À´Ï´Ù. °áÇÔÀ» ´Ù½Ã È®ÀÎÇϱâ À§ÇØ ¼³Ê °³ÀÇ ´Ù¸¥ ¾ÖÇø®ÄÉÀ̼ÇÀ¸·Î ±¸¼ºµÈ ƯÁ¤ »çÀÌÆ®¿¡ ´ëÇÑ ¼öÁýÀ» ÁøÇàÇߴµ¥,
±× Áß Çϳª¿¡¼´Â ´Ù½Ã ¹«ÇÑ·çÇÁ¿¡ °É·È½À´Ï´Ù. ¿ª½Ã ÇØ´ç ¹®Á¦¸¦ ÇØ°áÇϱâ À§ÇÑ ³ë·Â°ú´Â °ü°è¾øÀÌ ÀÌ·¯ÇÑ ¹®Á¦ÀÇ ¹ß»ýÀÌÀ¯´Â È®ÀÎÇÒ ¼ö ¾ø¾úÁö¸¸,
ÇØ´ç µµ±¸°¡ À¥ »çÀÌÆ®ÀÇ ¼öÁýÀ» À§ÇØ
DFS(Depth Focus Search)¹æ½ÄÀÇ ¾Ë°í¸®ÁòÀ» »ç¿ëÇϱ⠶§¹®¿¡ ÀÌ·¯ÇÑ ¹®Á¦°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù°í º¸¿©Áý´Ï´Ù. ÇÏÁö¸¸,
¿Ö ´Ù¸¥ ¾ÖÇø®ÄÉÀ̼ÇÀº ¾Æ¹«·± ¹®Á¦¾øÀÌ »çÀÌÆ® ¼öÁýÀÌ µÇ¾ú´ÂÁö ¶ÇÇÑ ÆǺ°ÇÒ ¼ö ¾ø¾ú½À´Ï´Ù.
¶Ç ´Ù¸¥ ÀåÁ¡À¸·Î »çÀÌÆ® ¼öÁý ÈÄ,
Á¡°ËÇÒ ´ë»ó°ú Á¡°Ë¿¡¼ Á¦¿ÜÇÒ ´ë»óÀ» ¼±ÅÃÇÒ ¼ö Àִ âÀÌ Á¦°øµÇ¾î Á¡°ËÀÇ ÆíÀǸ¦ µ½´Â´Ù´Â Á¡ÀÌ ÀÌÀü ¹öÀü°úÀÇ Â÷ÀÌÁ¡À¸·Î º¸¿©Á³½À´Ï´Ù.
±×¸²
10. Á¡°Ë
´ë»ó
ÆÄÀÏ
¼±ÅÃ
â
ÀÌ¿Í °°Àº ºÎÁ·ÇÔÀÌ ¾ø´Â ÁÖ¿ä ±â´É°ú ÈǸ¢ÇÑ º¸±â ±â´É,
±×¸®°í ºü¸¥ ¼öÁý´É·ÂÀ¸·Î ÀÎÇØ Áß°£¿¡ ¹®Á¦°¡ ¹ß»ýÇÑ ºÎºÐÀ¸·Î ÀÎÇØ ÆòÁ¡ÀÌ ³·¾ÆÁ³À½¿¡µµ ºÒ±¸ÇÏ°í ÁÁÀº ÆòÁ¡À» ÁÙ ¼ö ÀÖ¾ú½À´Ï´Ù.
ÆòÁ¡:
4.0
Á¡°Ë´ë»óã±â µµ±¸(Target Finder):
±×¸²
11. Á¡°Ë´ë»ó
ã±â
ÁøÇà
ȸé
´ë»ó
ã±â
µµ±¸´Â
ÁÖ¾îÁø
ÁÖ¼ÒÀÇ
¹üÀ§¿¡¼
À¥
»çÀÌÆ®¸¦
ãÀ»
¼ö
ÀÖ°Ô
¼³°èµÈ
°£´ÜÇÑ
Æ÷Æ®
½ºÄ³³ÊÀÔ´Ï´Ù. ÀÌ´Â
ÀÌÀü¹öÀü¿¡¼
»ç¿ëµÇ´ø
°Í°ú
µ¿ÀÏÇÑ
±â´É°ú
¹®Á¦Á¡À»
°¡Áö°í
ÀÖ½À´Ï´Ù. ÀÌ´Â
ÁÖ¼ÒÀÇ
¹üÀ§´Â
ÇÑÁ¤µÇÁö
¾Ê¾Ò°í, Ç¥ÁØÆ÷Æ®¸¦
»ç¿ëÇÏÁö
¾Ê´Â
À¥
»çÀÌÆ®¸¦
¹ß°ßÇÒ
¼ö
ÀÖ°Ô
¿øÇÏ´Â
Æ÷Æ®¸¦
ã¾Æº¼
¼ö
ÀÖµµ·Ï
ƯÁ¤ÇÒ
¼ö
ÀÖ½À´Ï´Ù. ¶ÇÇÑ
»ç¿ëÁßÀÎ
À¥
¼¹öÀÇ
Á¾·ù¸¦
ÆǺ°Çϱâ
À§ÇÑ
½Ãµµµµ
ÇÕ´Ï´Ù.
ÀÌ·¯ÇÑ
±â´ÉÀÌ
ÀÌÀü¹öÀü¿¡¼´Â
¸î
°¡Áö
¼Å÷
¹®Á¦Á¡µéÀ»
¹ß»ý½ÃÅ°°í, À̸¦
°æÇèÇÑ
º»ÀÎÀº
´ä´äÇÔÀ»
±ÝÇÒ
¼ö
¾ø¾ú½À´Ï´Ù¸¸, °³¼±µÈ
¹öÀü¿¡¼´Â
¸î¸î
¹®Á¦°¡
ÇØ°áµÈ
°ÍÀ¸·Î
º¸¿©Áý´Ï´Ù. Á¡°ËÀ»
À§ÇØ CŬ·¡½º
ÁÖ¼ÒÁöÀÇ
Àý¹ÝÀ»
ÁöÁ¤ÇØ
ÁÖ¾úÀ»
¶§, ±×°÷¿¡
À¥
¼¹ö°¡
À̹Ì
Á¸ÀçÇÏ°í
ÀÖ´Â
°ÍÀ»
¾Ë°í
ÀÖ¾ú°í, °á°úÀûÀ¸·Î
Á¤È®È÷
À¥
¼¹ö¸¦
ÆǺ°ÇØ
³»¾ú½À´Ï´Ù. ÀÌÀü
¹öÀü¿¡¼´Â
ÁÖ¼ÒÁö¸¦
°¨¼Ò½ÃŲ
°æ¿ì¿¡¸¸, Á¸ÀçÇÏ´Â
¼¹ö¸¦
Á¤È®ÇÏ°Ô
ÆǺ°Çß½À´Ï´Ù¸¸, º»
¹öÀü¿¡¼´Â
±×·¯ÇÑ
¹®Á¦¸¦
ÇØ°áÇسõÀº
°ÍÀ¸·Î
º¸¿©Á³½À´Ï´Ù. ´ë±Ô¸ð
ÁÖ¼ÒÁö¸¦
ÁÙ
°æ¿ì
Á¤»óÀûÀ¸·Î
µ¿ÀÛÇÒ
¼ö
ÀÖ´Ù´Â
»ç½Ç
¶§¹®¿¡, ÇØ´ç
µµ±¸¿¡´Â
±â´É»óÀÇ
ÆíÀÇÁ¡°ú
ÇÔ²²
³ôÀº
ÆòÁ¡À»
¹ÞÀ»
¼ö
ÀÖ¾ú½À´Ï´Ù.
ÆòÁ¡ 4.0
¼ºêµµ¸ÞÀΠã±â µµ±¸(Subdomain Scanner):
±×¸²
12. ¼ºêµµ¸ÞÀÎ
ã±â
µµ±¸
ȸé
±×¸²
12¿¡ º¸ÀÌ´Â ¼ºêµµ¸ÞÀΠã±â µµ±¸´Â ´Ù¾çÇÑ ±â¹ý°ú ÀϹÝÀûÀÎ ¼ºê µµ¸ÞÀÎ À̸§À» ÃßÃøÇÏ¿© ºü¸£°í ½±°Ô ¼ºñ½ºÁßÀÎ ¼ºêµµ¸ÞÀÎÀ» ±¸º°ÇÒ ¼ö ÀÖµµ·Ï ÇÕ´Ï´Ù. ÇØ´ç ¼ºêµµ¸ÞÀΠã±â µµ±¸´Â ´ë»óÀÇ
DNS¼¹ö¸¦ ÀÌ¿ëÇÏ¿© ¼³Á¤ÇÒ ¼ö µµ ÀÖ°í,
»ç¿ëÀÚ¿¡ ÀÇÇØ Æ¯Á¤ÇÏ¿© ¼³Á¤µÉ ¼öµµ ÀÖ½À´Ï´Ù.
ÇØ´ç ¼ºêµµ¸ÞÀΠã±â µµ±¸´Â Á¤»óÀûÀ¸·Î ¼ºê µµ¸ÞÀÎ ¸íÀ» ºÒ·¯¿À±â´Â ÇßÁö¸¸,
½Ç¸Á½º·´°Ôµµ ±× ¿ÜÀÇ IP
ÁÖ¼Ò,
À¥ ¼¹ö ¹è³Ê¿Í ±â¹Ý ±â¼ú¿¡ °ü·ÃµÈ Á¤º¸´Â Á¤»óÀûÀ¸·Î ºÒ·¯¿ÀÁö¸¦ ¸øÇß½À´Ï´Ù. ¹°·Ð °æ¿ì¿¡ µû¶ó¼´Â Á¤»óÀûÀÎ °ªÀ» °¡Áö°í ¿À±âµµ ÇßÁö¸¸,
¿ª½Ã ºñÁ¤»óÀûÀ¸·Î °ªÀ» ºÒ·¯¿À´Â ºóµµ°¡ ³ô¾Æ,
±× ÆíÀǼº¿¡µµ ºÒ±¸ÇÏ°í ³·Àº ÆòÁ¡À» ÁÖ°Ô µÇ¾ú½À´Ï´Ù.
ÆòÁ¡:
2.0
HTTP
ÆíÁý±â(HTTP Editor)¿Í
HTTP ½º´ÏÆÛ(HTTP Sniffer):
±×¸²
13. HTTP ÆíÁý±â
ȸé
±×¸²
14. HTTP ½º´ÏÆÛ
ȸé
ÇØ´ç µµ±¸µéÀº
HTTP ¿äûÀ» º¸°Å³ª ÆíÁýÇϰųª »ý¼ºÇÒ ¼ö ÀÖ½À´Ï´Ù. ÀÌ·¯ÇÑ µµ±¸¸¦ ÀÌ¿ëÇÏ¿© ¸ðÀÇÇØÅ·À» ´Ù·ç°Å³ª º¸¾È °¨»ç¸¦ ÁøÇàÇÏ´Â »ç¶÷Àº ¼¹ö¿Í Ŭ¶óÀ̾ðÆ®°£ÀÇ Æ®·¡ÇÈÀ» ºÐ¼®Çϰųª ÀÌ¿ëÇÏ´Â °ÍÀÌ Çã¿ëµË´Ï´Ù. ÀÌ·¯ÇÑ Á¤º¸¸¦ ÅëÇؼ SQL
Injection°ú
Cross Site Scripting Ãë¾àÁ¡¿¡ ´ëÇÑ °ø°ÝÀ» ÀÚüÀûÀ¸·Î »ý¼ºÇÏ´Â °ÍÀÌ °¡´ÉÇÕ´Ï´Ù.
½º´ÏÆÛ´Â ¶ÇÇÑ ¼¹ö·Î º¸³»Áö±â Àü ¶Ç´Â µ¥ÀÌÅ͸¦ ¹Þ±â Àü¿¡ ÀÀ´äµÇ´Â µ¥ÀÌÅ͸¦ Â÷´ÜÇϰųª ¼öÁ¤ÇÏ´Â °ÍÀ» Çã¿ëÇÏ¿© Ŭ¶óÀ̾ðÆ® ´ÜÀÇ °ËÁõÀ» ¿ìȸÇÒ ¼ö ÀÖµµ·Ï ÇÒ ¼ö ÀÖ½À´Ï´Ù. ÀÌ·¯ÇÑ µµ±¸´Â ½ºÄ³³Ê°¡ ÀÚµ¿À¸·Î ó¸®Çϱ⠾î·Á¿î ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ ½Éµµ ÀÖ´Â Á¡°Ë°ú Á¡°ËÀÌ °¡´ÉÇϵµ·Ï ÇÕ´Ï´Ù.
È®½ÇÈ÷ ÀÌ·¯ÇÑ µµ±¸µéÀº ÀÌÀü ¹öÀüÀÇ ¸®ºä¿¡¼ ¹àÈù °Íó·³ ÇØ´ç Á¦Ç°¿¡¼ ¸¸Á·½º·´°Ô ÀÌ¿ëÇÒ ¼ö ÀÖ´Â ¾ÆÁÖ °¡Ä¡ ÀÖ´Â ±â´ÉÀ̶ó°í ÆǴܵ˴ϴÙ. ÀÎÅÍÆäÀ̽º´Â °£¼ÒÈ µÉ ¼ö ÀÖ°ÚÁö¸¸,
´Ù¸¥ ¸éÀ¸·Î º¸¾Æ ÀÌ´Â ³ôÀº ÆòÁ¡À» ÁÙ ¼ö ÀÖ´Â Æí¸®ÇÑ ±â´ÉÀ̶ó°í ÆǴܵ˴ϴÙ.
ÆòÁ¡:
4