웹취약점 진단도구로 가장 많이 사용되는 것은
Acunetix가 아닐까 생각이 듭니다.
사용하면 좋은데 비용이 꽤 높습니다.
거기다가 1년단위 라이센스라서 매년 (600만원 이상) 비용이 필요합니다.
대안은 오픈소스인데, 검색을 해본결과
Ruby언어로 개발된 Arachni를 선택하였습니다.
공식 웹페이지입니다.
https://www.arachni-scanner.com/
오픈소스는 github에 있습니다.
https://github.com/Arachni/arachni-ui-web
공식 웹페이지에서 상단 'download'메뉴로 가서
windows버전을 다운로드 받습니다.
적당한 곳에 파일을 복사하고, 실행하면 압축이 해제되면서
폴더가 생성됩니다.
arachni-1.5.1-0.5.12-windows-x86_64\bin
압축 해제된 폴더내에 bin 폴더에 진입합니다.
arachni_web.bat 파일을 마우스 오른쪽 클릭을 해서 관리자 권한으로 실행합니다.
한참동안 (30초 정도?) 지나면 아래와 같이 메시지가 나옵니다.
Puma 2.14.0 starting...
...
여기서 Puma는 역시 루비 언어로 만들어진 오픈소스 웹 서버 입니다.
관련정보가 필요하다면 아래 링크 참고 바랍니다.
https://puma.io/
그러면 정상적으로 설치가 되었습니다.
웹브라우저를(크롬, 파이어폭스, 인터넷익스폴로러) 실행하고,
주소 입력창에 'locathost:9292'를 입력합니다.
자체 설치된 arachni 웹페이지에 접속이 됩니다.
로그인을 합니다.
로그인 정보는 압축 해제된 폴더내 README.txt 파일 내에 있습니다.
Administrator로 로그인을 합니다.
초기 웹페이지입니다.
웹페이지 상단에 'Scans- +New'를 선택합니다.
사용법은 간단합니다.
URL 입력창에 'http://www.test.com' 처럼 full URL을 입력하고
Configuration profile에는 Default, Cross site, XSS 등 3가지가 있는데,
한가지를 고르고, Default를 고르면 Cross site, xss를 동시에 진행을 합니다.
하단에 Go 버튼을 클릭하면, 스캔이 진행됩니다.
이상입니다~
관련 참고 사이트입니다.
Arachni scanner 설치 및 스캔
https://xn--ex3bt1ov9l.kr/301
Arachni Web Scanner 도구 분석 및 사용팁
https://mrrootable.tistory.com/88
Arachni scanner 사용법
https://cha3m.tistory.com/60
Arachni를 이용한 웹 취약점 점검 후기
https://blog.naver.com/PostView.nhn?blogId=jaydee88&logNo=221426678837&parentCategoryNo=&categoryNo=9&viewDate=&isShowPopularPosts=true&from=search
Arachni 설치 & 실행기
https://pineoc.blogspot.com/2016/12/arachni.html
Arachni 설치 & 실행기
arachni 설치 & 실행
pineoc.blogspot.com
김영찬 (소프트웨어 품질 전문가)
(재)전주정보문화산업진흥원(JICA)
소프트웨어 개발자로 10년간 발로 코딩 하다가 한계를 느끼고,
2015년부터 소프트웨어 품질에 몸을 담고 기업을 돕고 있음
email. sweng@jica.or.kr / tel. 063-281-4113
주업무 : 소프트웨어 품질 컨설팅, 테스팅, KOLAS 기술책임자, 개발자 네트워크 운영
자격
- SP, CMMI, VSE(ISO 29110), ISMS(ISO 27001) 인증 심사원
- AIT, ISTQB FL, CSTS, 29119 외 다수
'도구' 카테고리의 다른 글
| [도구] 오픈소스 웹취약점 점검도구 - OWASP ZAP(Zed Attack Proxy) 프록시(Proxy) 설정 (0) | 2024.03.07 |
|---|---|
| [도구] 오픈소스 웹취약점 점검도구 - OWASP ZAP(Zed Attack Proxy) (0) | 2022.04.07 |
