본문 바로가기

도구

[도구] 오픈소스 웹취약점 진단도구 - Arachni

웹취약점 진단도구로 가장 많이 사용되는 것은

Acunetix가 아닐까 생각이 듭니다.

사용하면 좋은데 비용이 꽤 높습니다.

거기다가 1년단위 라이센스라서 매년 (600만원 이상) 비용이 필요합니다.

대안은 오픈소스인데, 검색을 해본결과

Ruby언어로 개발된 Arachni를 선택하였습니다.

공식 웹페이지입니다.

https://www.arachni-scanner.com/















오픈소스는 github에 있습니다.
https://github.com/Arachni/arachni-ui-web















공식 웹페이지에서 상단 'download'메뉴로 가서

windows버전을 다운로드 받습니다.



적당한 곳에 파일을 복사하고, 실행하면 압축이 해제되면서

폴더가 생성됩니다.

 

 



arachni-1.5.1-0.5.12-windows-x86_64\bin

압축 해제된 폴더내에 bin 폴더에 진입합니다.



arachni_web.bat 파일을 마우스 오른쪽 클릭을 해서 관리자 권한으로 실행합니다.



한참동안 (30초 정도?) 지나면 아래와 같이 메시지가 나옵니다.
Puma 2.14.0 starting...
...



여기서 Puma는 역시 루비 언어로 만들어진 오픈소스 웹 서버 입니다.

관련정보가 필요하다면 아래 링크 참고 바랍니다.

https://puma.io/



그러면 정상적으로 설치가 되었습니다.


웹브라우저를(크롬, 파이어폭스, 인터넷익스폴로러) 실행하고,
주소 입력창에 'locathost:9292'를 입력합니다.




자체 설치된 arachni 웹페이지에 접속이 됩니다.

로그인을 합니다.

로그인 정보는 압축 해제된 폴더내 README.txt 파일 내에 있습니다.



Administrator로 로그인을 합니다.

초기 웹페이지입니다.



웹페이지 상단에 'Scans- +New'를 선택합니다.



사용법은 간단합니다.
URL 입력창에 'http://www.test.com' 처럼 full URL을 입력하고
Configuration profile에는 Default, Cross site, XSS 등 3가지가 있는데,
한가지를 고르고, Default를 고르면 Cross site, xss를 동시에 진행을 합니다.

 
하단에 Advaced options을 선택해도 되고 안해도 되는데,
선택을 하면 하위 메뉴로 Distribution, Scheduling 가 있습니다.
Distribution에 Instance count 가 Default로 '1'이 세팅되어 있는데,
여러개의 instance를 만들어서 scan을 할수가 있습니다.
저는 '7'을 넣었습니다.

 


하단에 Go 버튼을 클릭하면, 스캔이 진행됩니다.



이상입니다~


관련 참고 사이트입니다.

Arachni scanner 설치 및 스캔
https://xn--ex3bt1ov9l.kr/301

Arachni Web Scanner 도구 분석 및 사용팁
https://mrrootable.tistory.com/88

Arachni scanner 사용법
https://cha3m.tistory.com/60

Arachni를 이용한 웹 취약점 점검 후기
https://blog.naver.com/PostView.nhn?blogId=jaydee88&logNo=221426678837&parentCategoryNo=&categoryNo=9&viewDate=&isShowPopularPosts=true&from=search

Arachni 설치 & 실행기
https://pineoc.blogspot.com/2016/12/arachni.html

 

Arachni 설치 & 실행기

arachni 설치 & 실행

pineoc.blogspot.com

 

 

 

김영찬 (소프트웨어 품질 전문가)

(재)전주정보문화산업진흥원(JICA)

소프트웨어 개발자로 10년간 발로 코딩 하다가 한계를 느끼고, 

2015년부터 소프트웨어 품질에 몸을 담고 기업을 돕고 있음

email.  sweng@jica.or.kr  / tel. 063-281-4113

주업무 : 소프트웨어 품질 컨설팅, 테스팅,  KOLAS 기술책임자, 개발자 네트워크 운영

자격

  - SP, CMMI, VSE(ISO 29110), ISMS(ISO 27001) 인증 심사원

  - AIT, ISTQB FL, CSTS, 29119 외 다수