Acunetix WVS V5 Review

Jason Lee

2007년 6월 15일

이전 포스트에 이어서 아큐네틱스의 도구에 대한 리뷰를 진행하고 전체적인 평을 하도

록 하겠습니다. 번거롭게 리뷰가 두개로 나우어지게 되어서 애독자분들에게 불편함을 드려 죄송합니다. 마지막까지 좋은 글이 나올 수 있도록 최선을 다하겠습니다.

HTTP 퓨져(HTTP Fuzzer):

그림 15. HTTP 퓨저 화면

HTTP 퓨저(Fuzzer)는 편집기 및 스니퍼(Sniffer)와 관계하여 이용할 수 있고, 비슷하다고 할 수 있을 것 입니다. 하지만 퓨저는 이들 도구와 차이가 있는데, 퓨저는 변수에 문제 주입을 매뉴얼이 아닌 자동으로 주입할 수 있다라는 것입니다. 퓨징(Fuzzing)은 버퍼오버플로우(Buffer Overflow)에 대한 브루트 포스(Brute Force) 검사를 빠르고 쉬운 방법으로 가능하게 합니다. 이전 버전의 제품에서도 이용되었던 도구로서, 해당 버전에서도 퓨징에 대한 다양한 선택사항을 제공하며, 퓨징 할 수 있는 다양한 형태의 문자열과 캐릭터 스위치를 생성할 수 있도록 합니다. 자동화된 퓨징을 한번도 시도해 보지 않은 사람이라면, 사용자 인터페이스가 약간 혼란스러울 수도 있습니다. 이는 이전 버전에서도 이야기 되었던 부분이지만, 이러한 문제는 매뉴얼의 자습서를 참조하여 몇 차례 테스팅을 진행해 보면, 쉽게 이용할 수 있음을 알 수 있습니다. 편집기와 스니퍼가 함께 있기 때문에, 퓨저는 높은 평점을 줄 수 있는 좋은 도구라고 할 수 있습니다.

평점 4

인증 검사도구(Authentication Tester):

그림 16. 인증검사도구 화면

인증검사도구는 이전버전에서도 호평했던 기능입니다. 정말 감탄할 만 합니다. 물론 좋은 웹 사이트 인증 검사 도구가 많지 않아서라고 이유를 달 수도 있지만, 그것 이외에도, 해당 도구는 정말 잘 동작하기 때문에라고 단서를 달 수 도 있습니다. 본 인증 검사도구는 HTTP 인증(팝업박스 형태)과 HTML 입력폼, 두 가지를 다 검사할 수 있습니다.

HTTP 인증을 검사할 때, 해당 도구는 보다 더 정확하게 동작합니다. 사용자 이름 목록과 암호 목록 그리고 인증 실패로 되돌려진 에러 역시 선택할 수 있습니다. 이 마지막 옵션은 단지 오탐 만을 전해주는 것 말고도 비 표준 응답을 주는 사이트에 검사를 할 수 있도록 하기에 더 중요하다고 할 수 있습니다.

HTML 입력양식은 약간 다릅니다. 아큐네틱스는 양식이 들어있는 페이지를 불러들이고, 어떤 필드가 사용자 이름과 암호인지를 특정할 수 있습니다. 물론 자체 제작된 에러 페이지를 특정할 수도 있습니다. 이는 어떤 에러코드가 아큐네틱스에 전해지는지를 알려줌으로써 마쳐질 수 있고, 또한 리턴 페이지에 포함된 문자열을 검색하여 아큐네틱스에 지정하여 수행할 수도 있습니다. 예를 들어, 해당 페이지가 실패에 대해서 “Login Failed”라고 말한다면, 아큐네틱스에 상응하는 문자열 또는 정규식으로 알려줄 수 있습니다. 이는 자체 제작한 에러메시지를 이용하는 페이지가 많아질수록 더욱 엄청나게 많은 오탐을 줄일 수 있습니다.

전반적으로 해당 인증 검사도구는 본 제품에 더해져 아주 훌륭하다 할 수 있습니다. 이것과 더불어 찾아보고 싶은 몇몇 기능이 더 있지만, 이들은 더 많은 영향을 주지 못하는 기능들 입니다. 하지만, 이전 버전에 비해 더 많은 개선과 나아진 점이 없어서, 무난한 평점을 받게 되었습니다.

평점 3.5

결과 비교도구(Compare Results):

그림 17. 결과 비교도구 화면

결과 비교도구는 이전 버전에서 제공되었던 것과 별반 차이가 없습니다. 사용자 편의성을 위한 도구이며, 기존의 점검과 새로운 점검을 비교하여 수정작업이 이루어졌는지, 이루어 졌다면, 어떤 취약점을 수정했는지 확인할 수 있도록 관리자 혹은 담당자가 확인할 수 있는 기능을 제공합니다.

인터페이스는 간단합니다. 두 개의 다른 취약점 점검 결과를 불러들이고, 이들을 취약점과 파일 구조를 통해서 비교할 것인지 혹은 각각을 통해 비교할 것인지를 선택하고 나면, 취약점과 파일 구조에 대한 차이점을 동일한지 그렇지 않은지로 표시해 주는 기능을 가지고 있습니다.

특별히 기능상의 완성도 혹은 뛰어난 점을 제공하지 않기에, 평점에 큰 영향을 주지는 못했습니다.

평점 3

웹 서비스 스캐너(Web Services Scanner):

그림 18. 웹 서비스 스캐너 초기 화면

웹 서비스 스캐너는 많은 기업과 조직들이 정보의 이용과 인터넷의 실행절차를 개선하기 위해서 이용이 증가하고 있는 웹 서비스 구조에 대한 점검을 위해 도입된 도구입니다. 이전버전에서는 일반적인 웹 애플리케이션 스캐너만이 존재했지만, 해당 버전에서는 워치파이어의 AppScan이나 스파이다이나믹스의 WebInspect처럼 웹 서비스에 대한 점검이 가능한 웹 서비스 스캔을 추가하였습니다.

웹 서비스는 다른 인터넷에 종속된 시스템과 같이 새로운 악용이 가능한 취약점들과 보안 감사의 필요성이 증가되고 있습니다. 이에 웹 서비스 스캐너는 웹 서비스에 대한 자동화된 취약점 점검을 실행하고, 점검 결과에 대한 세부 보안 보고서를 생성하는 기능을 가지고 있습니다.

점검 방식은 간단하게 구성되어 있습니다.

1. 웹 서비스 스캐너 시작

2. 새로운 점검 선택

3. 온라인 되어있거나 로컬에 존재하는 WSDL을 선택하고 점검 프로파일을 선택

4. 점검하기 원하는 웹 서비스, 포트 타입 및 메소드를 선택

5. 점검 동안에 스캐너에서 이용할 수 있는 입력 값들을 등록(옵션)

6. 웹 서비스 점검 설정 내용 요약을 보여줌

7. 점검 실행

그림 19. 웹 서비스 스캐너 작업 화면

점검 결과는 그림 19처럼, 트리구조를 통해서 보여줍니다. 왼쪽의 트리노드를 확장하여, 필요한 분석 정보를 확인하기 위해서는 확장된 트리 노드를 클릭하여, 오른쪽의 정보 창에 자세한 정보를 확인할 수 있으며, 보고서 기능을 이용하지 않고도 취약점에 대한 내용을 확인하고, 해당 취약점을 통해 어떤 페이지에서 공격이 이루어질 수 있는 지와, 해당 도구와 웹 서버 간에 교환된 세부 요청 및 응답내용을 확인할 수 있고, 취약한 페이지를 보호하기 위한 세부 수정기법을 확인할 수 있습니다.

간단하고 편리한 점검 기능을 제공하는 웹 서비스 스캐너는 처음 도입된 기능임에도 불구하고 뛰어난 이용성으로 인해 높은 평점을 받을 수 있었습니다.

평점 4

웹 서비스 편집기(Web Services Editor)

그림 20. 웹 서비스 편집기 화면

웹 서비스 편집기는 온라인 또는 로컬 WSDL을 작성할 수 있도록 합니다. 편집기는 신택스를 강조하여 모든 언어에 대한 쉬운 편집이 가능한 기능을 제공하고, 이를 통해 SOAP 헤더와 매뉴얼 공격을 생성할 수 있도록 합니다.

웹 서비스 SOAP 메시지의 편집과 전송은 일반적인 HTTP 편집기를 통해 일반적인 요청을 보내는 작업과 아주 비슷합니다.

그림 21. 웹 서비스 편집기의 WSDL 구조 화면

그림 22. 웹 서비스 편집기의 WSDL XML 구조

보고서 기능

그림 23. 보고서 생성기 화면

본 버전에서의 보고서 생성기는 이전버전과는 달리 별도의 애플리케이션으로 제공됩니다. 점검된 결과보고서는 충분할 만큼 제공됩니다. 본 보고서는 잘 정리되어 있고, 쉽게 읽을 수 있으며, 중요하지 않은 취약점들에 대해 부적당한 등급을 주지 않았습니다. 전반적인 취약점은 다른 많은 점검도구 중에서도 불합리한 공포나 행동을 조장하지 않을 만큼 일반적인 사례처럼 보여집니다. 또한 이전버전에서는 보고서가 HTML 형태의 문서로만 저장될 수 있었는데, 새로운 버전에서는 다른 형태(PDF, TXT, WORD, BMP)의 문서로 저장하는 것이 가능하도록 만들어져 있습니다.

보고서 생성기에서는 아니지만, 본 모듈에서는 AVDL(Application Vulnerability Description Language)와 XML로 결과를 생성할 수 있어, 다른 부가적인 작업 없이 입력된 데이터를 보다 확장된 다른 보고서 도구로 전해줄 방법도 없습니다. 기본적으로, 아큐네틱스는 모든 데이터를 MS Access 데이터베이스에 저장할 수 있습니다. 혹시 마이크로소프트 액세스를 이용할 수 있다면, 수많은 다른 형태로 전해줄 수 있습니다.

보고서 생성기에는 이전 버전과는 많이 차별되는 기능들이 추가되어 있습니다. 아래에는 지원 되는 보고서 및 보고 기능입니다.

1. 보고서 미리보기 기능

2. 보고서 마법사를 통한 기본 보고서 생성 기능

3. 템플릿을 이용한 개별 보고서 생성 기능

A. 개발자 보고서

B. 관리자 보고서

C. 취약점 보고서

4. 컴플라이언스(규정이행) 보고서

A. HIPPA(The Health Insurance Portability and Accountability Act

B. OWASP TOP 10 2004

C. OWASP Top 10 2007

D. PCI(Payment Card Industry Data Security Standard)

E. Sarbanes-Oxley Act of 2002

F. WASC(Web Application Security Consortium) Threat Classification

5. 점검 비교 보고서

6. 월간 취약점 통계 보고서

이러한 보고서 템플릿 이외에도, 설정에서는 취약점 점검 데이터 베이스를 확인할 수 있고, 보고서 설정 옵션을 통해서, 삽입되는 로고와 보고서 제목, 꼬리말과 페이지 세팅을 사용자가 설정할 수 있도록 되어 있습니다.

보고서 생성기는 다양한 템플릿별 보고서 생성 마법사가 지원되어서 간단한 클릭으로 보고서를 생성할 수 있는 편의성을 제공하고 있습니다.

다음은 각종 보고서들의 예제 화면들 입니다.

그림 24. 일반 보고서 예제

그림 25. 개발자 보고서 예제

그림 26. 관리자 보고서 예제

그림 27. 취약점 보고서 예제

그림 28. 컴플라이언스(규정이행) 보고서 예제

그림 29. 점검 결과 비교 보고서 예제

그림 30. 월간 취약점 통계 보고서 예제

아큐네틱스 WVS V5의 개선된 보고서 생성기의 기능은 다른 제품과 비교하여 손색이 없거나 편의적인 면으로 보아 개선되고 발전한 부분이 많아졌습니다. 또한 이전의 보고서에서는 제공되지 않던 개발자가 적용할 수 있는 수정 권고안이 추가되어져 있는 점등을 들어 좋은 평점을 주었습니다.

평점 4.5

전반적인 제품 평점

뛰어난 기능, 사용의 편의성 그리고 빠른 처리능력으로 이전 버전의 아큐네틱스는 4점의 전체 평점을 받았지만, 해당 버전은 다양한 기능의 추가와 개선된 점에도 불구하고 3.6으로 일반적인 제품보다 약간 나은 평점을 받게 되었습니다.

장점:

l 자체 제작된 에러 페이지들에 대한 특정 기능

l 하나의 애플리케이션에 조합된 많은 편의성을 제공하는 도구들

l 높은 취약점 탐지율

l 중요하지 않은 취약점에 대한 적절한 위협분류

l 다양한 보고서 템플릿 제공 및 간단한 생성 기능

l 웹 서비스를 이용한 취약점 점검 기능

단점:

l 대상 점검 도구가 가지고 있는 버그

l 이전 버전보다 느려진 점검 속도

l 폼 입력 중지 기능의 미 동작

l 다양한 점검이 가능하지만, 동일 파라메터에 대한 과다한 취약점 검출

l 보안 도구임에도 불구하고 라이센스 관리의 미흡

요약

아큐네틱스는 버전이 바뀌어갈수록 보다 나은 도구로 개선되고 있음을 확인할 수 있는 전형적인 예처럼 보여집니다. 이는 해당 도구가 웹 사이트의 취약점을 완벽하게 찾아 볼 수 있도록 제공되는 다양한 도구들의 모음을 하나로 포함한 단일 애플리케이션으로서 보여질 수 있도록 노력했음을 알 수 있게 합니다. 전반적으로 아큐네틱스는 이러한 목표를 세우고 달려나가는 것을 보이도록 하고 있지만, 해당 도구가 완전히 이러한 목표를 이루기 위해서는 제품의 중요하지 않은 기능에 더욱더 많은 노력을 가해 그 빛을 더 발 할 수 있도록 할 수 있기를 바랍니다.

앞으로 개선을 위한 제안

아큐네틱스는 해당 버전에 이르러서는 다른 사용의 어떤 제품과 비교해도 떨어지지 않는 제품 성능과 다양한 기능을 제공하는 강력한 도구이자 제품이라는 것을 알 수 있도록 하고 있고, 몇몇 중요하지 않은 부가적인 기능과 도구를 이용해 훌륭한 도구라는 것을 스스로 증명하고 있습니다.

본 리뷰를 통해서 필자는 몇 가지 아큐네틱스에 바라고자 하는 점을 발견했습니다. 사용자 인터페이스가 친 사용자적이고, 이용이 편리함에도 불구하고, 사용자 인터페이스는 여전히 손볼 필요가 있는 것 같습니다. 특히 퓨저(fuzzer)의 경우가 대표적입니다. 인증검사도구의 경우에는 이전 버전과 같이 HTML 브루트 포스를 진행하는 동안 사용자 이름 없이 암호만을 지정할 수 없도록 되어있었습니다. 이는 사용자 아이디가 없이 암호만이 요구되는 몇몇 관리자용 웹 페이지 혹은 게시판에 실행을 해본 결과, 해당 페이지를 브루트 포스할 방법을 찾을 수 가 없어서 더욱 답답하게 만들었습니다. 또한 타임아웃 기간과 다중 처리를 바꾸는 방법 역시 이전 버전과 동일하게 되어있어서, 개선을 진행하지 않았음을 확인할 수 있어, 다음 버전에서는 환영 받을 수 있는 내용으로 바뀌어져 있기를 기대하고 있습니다. 이러한 부분을 수정함으로 점검 속도의 증가가 이루어 질 것으로 보여집니다. 환영할 만한 점은 수집기에서는 이전 버전과 다르게 수집되는 링크의 depth를 제한할 수 있도록 하였고, 옵션을 통해서 수집된 링크 중에서 점검이 진행할 것과 진행하지 않을 것을 선택할 수 있도록 한 것은 현명한 판단이었다고 말해주고 싶은 결정이었습니다. 이러한 부분은 수집기가 무한루프에 빠져 발생하는 문제에 대한 대안으로 추가된 것으로 보여지고 있습니다.

현재 아큐네틱스 웹 취약점 분석도구는 (주)아이시큐어에서 제품에 관한 모든 기술 지원과 판매를 담당하고 있습니다. 본 필자인 Jason Lee는 다양한 웹 취약점 분석도구에 관한 분석과 컨설팅을 담당하고 있으며, 앞으로 보다 많은 이야기들로 다양한 독자들을 찾아갈 계획입니다.

지난달에 버전 5로 메이저 업그레이드가 된 아큐네틱스는, 만 1년 만에 업그레이드가 이루어졌습니다. 다른 도구들이 6개월 마다 주요 업그레이드를 진행하는 것에 비해서는 아쉬운 점이 있으나, 버전 4에서 5로 업그레이드 되기 위해서 6월이라는 기간을 통해서 중간 다리가 되는 0.5 업그레이드를 하는 것과 비교하여 별반 차이가 없으므로, 일단은 참고 기다려 볼 수 있을 거라는 생각도 듭니다. 이전의 리뷰를 통해서, 각종 도구들의 성능과 정확도 향상 그리고 리포팅 도구의 개선이 이루어 질 것이라는 예상이 들어 맞은 아큐네틱스 WVS 버전 5. 다음에는 어떤 새로운 개선된 내용으로 우리에게 다가올지 기대가 됩니다.

궁금하신 사항이 있으시다면, jaisonyi@hotmail.com 으로 연락 주시기 바랍니다.