무료 웹 취약점 점검 도구 Arachni 사용법(2)

무료 웹 취약점 점검 도구 Arachni 사용법(2)

 

 

Arachni 는 Ruby 언어 기반의 무료/공개 소스 소프트웨어로 웹 취약점 자동 분석 도구이다. 
Linux, Mac, Windows에서 설치 가능하며 무료 웹 취약점 진단 도구 중 다른 도구에 비해 높은 수준의 성능을 보여준다고 한다. Arachni 홈페이지에 접속하면 다음과 같은 장점들을 나열해서 보여주니 자세한 사항은 홈페이지에서 확인하자.

• 무료/공개 소스 소프트웨어
• 여러 배포 옵션
• 많은 보안 검사
• 통합 브라우저 환경
• 각각의 웹 애플리케이션에 대한 지능적이고 즉각적인 적용
• 모바일 지원
• 높은 성능
• 상세하고 잘 구현된 리포트

 

 

무료 웹 취약점 점검 도구 Arachni 설치(1)

지난 시간에 Windows에 Arachni를 설치하는 과정까지 진행하였다. 이어서 대상 홈페이지의 취약점 점검하는 방법에 대해서 알아보자. 설치 및 구동, 로그인 접속한 화면이며 상단의 Scans - New를 선택한다.

 

Target URL : 취약점 점검 홈페이지를 작성한다. http 또는 https 프로토콜을 입력해야 한다.
Default (Global) : 사용할 구성 프로필을 지정한다 (Default, XSS, SQL Injection 중 택1) 
Description : 스캔 설명
Share with : 결과 공유 사용자

 

Advanced options에 보면 Instance count가 있다 인스턴스 수가 많을수록 빨리 취약점 점검이 이루어지지만 너무 많은 수를 지정하면 브라우저가 멈출 수 있다. PC 성능에 따라 지정하자.

 

하단의 Go! 버튼을 누르면 아래와 같이 점검이 시작된다.

위 이미지에서 아래와 같은 오류가 발생하여 정확한 취약점 점검이 이루어지지 않는다.

Please ensure that chromedriver and Chrome are the same version and in your PATH.
[Selenium::WebDriver::Error::SessionNotCreatedError] session not created: This version of ChromeDriver only supports Chrome version 98
Current browser version is 109.0.5414.120 with binary path C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

 Arachni는 Chrome Driver를 이용해 웹 브라우저를 제어하여 웹 취약점 점검을 하는데 해당 크롬 드라이버 버전이 안맞아서 발생하는 오류다. 아래 링크에서 버전에 맞는 크롬 드라이버를 다운로드할 수 있다.

 

ChromeDriver - WebDriver for Chrome - Downloads

위 링크에서 자신의 크롬 버전에 맞는 크롬 드라이버를 설치한다. 크롬 브라우저 버전 확인은 크롬 도움말 - chrome 정보를 선택하여 확인한다.

위 zip파일의 압축을 해제하면 chromedriver.exe 파일이 있다. 이 파일을 arachni-1.6.1.3-0.6.1.1-windows-x86_64\chromedriver의 chromedriver.exe로 덮어 쓰기한다.

크롬 드라이버 수정 후 다시 한번 돌아가보자. 정상적으로 웹 취약점 점검이 실행된다.

아래 이미지는 점검 후 나온 취약점 목록이다. 취약점 이름을 누르면 취약점에 대한 설명이 나온다. 물음표 버튼을 누르면 상세 취약점 URL 정보를 확인할 수 있으며 요청(REQUEST)과 응답(RESPONSE)을 확인할 수 있다.

이렇게 Arachni를 이용하여 취약점 점검을 마무리하였다. 취약점 목록에 나온 대상들은 무조건 모두 취약점이라고 볼 수 없으며 이중에 오탐도 있을 수 있으니 해당 웹 서버에 맞게 취약점 조치를 진행하도록 한다.