레이블이 스캐너인 게시물을 표시합니다. 모든 게시물 표시
레이블이 스캐너인 게시물을 표시합니다. 모든 게시물 표시

2016년 12월 30일 금요일

Arachni 설치 & 실행기




Mac 에 Arachni 설치하기
현재 맥북 버전 10.12 시에라

우선 Arachni가 무엇인지 알아봅시다.
Web Vulnerability Scanner(WVS), 웹 취약점 스캐너 툴 중에 하나로
오픈소스 프레임워크 입니다.
https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools
수 많은 WVS가 있는데 오픈소스지만 성능이 상위 5위 안에 드는 툴입니다.
아, WVS는 무엇인지도 알아볼까요?

"Web Application Vulnerability Scanners are automated tools that scan web applications, normally from the outside, to look for security vulnerabilities such as Cross-site scriptingSQL InjectionCommand InjectionPath Traversal and insecure server configuration. This category of tools is frequently referred to as Dynamic Application Security Testing (DAST) Tools. A large number of both commercial and open source tools of this type are available and all of these tools have their own strengths and weaknesses. If you are interested in the effectiveness of DAST tools, check out the OWASP Benchmark project, which is scientifically measuring the effectiveness of all types of vulnerability detection tools, including DAST." - OWASP.org
해석해봅시다. :)

"웹 응용 프로그램 취약성 검사기는 일반적으로 외부에서 웹 응용 프로그램을 검색하여 교차 사이트 스크립팅, SQL 삽입, 명령 삽입, 경로 탐색 및 안전하지 않은 서버 구성과 같은 보안 취약성을 찾는 자동화 된 도구입니다. 이 범주의 도구는 종종 DAST (Dynamic Application Security Testing) 도구라고합니다. 이 유형의 상용 및 오픈 소스 도구가 많이 있으며 이러한 도구는 모두 자체 강점과 약점이 있습니다. DAST 도구의 효과에 관심이 있다면 DAST를 포함한 모든 종류의 취약점 탐지 도구의 효과를 과학적으로 측정하는 OWASP Benchmark 프로젝트를 확인하십시오." - produced by 구글 번역

이렇게 알아봤으니 설치를 해보겠습니다.

설치파일을 다운로드.
링크 : http://www.arachni-scanner.com/download/


arachni-1.4-0.5.10-darwin-x86_64.tar.gz
이라는 파일을 받았습니다.

압축을 해제하면,



bin, system 폴더가 있고 그 외에 라이센스, 리드미 등과 같은 파일이 있습니다.
우리가 사용할 아나크니의 실행파일은 bin에 있습니다.
bin에는



우선 맨 앞에 있는 실행파일인 arachni를 실행해볼까요?



그냥 실행하면 URL이 필요하다고 합니다.
당연히 arachni는 웹 보안 취약점 테스트 툴이기 때문에
테스트를 할 URL을 넣어야합니다.

# 맥에서 설치할때 에러가 있음
이슈 : https://github.com/Arachni/arachni/issues/777
위의 링크에서 https://gist.github.com/Zapotek/26b1150c4c52eaeb4984ab60e2d4ce1d
이 파일을 system/environment파일로 교체해서 실행하면 에러 없이 진행할 수 있습니다.

아라크니를 실행해봅시다.
커맨드라인(CLI) 가이드: https://github.com/Arachni/arachni/wiki/Command-line-user-interface

http://example.com 이라는 사이트에 테스트를 해보겠습니다.
$./arachni http://example.com

실행 결과:


이렇게 봐서는 어떤 문제가 있는지 어떻게 체크되었는지 잘 알기 힘들 수 있는 것 같습니다.

그래서 리포트 문서를 아래와 같이 명령어를 진행해서 이쁘게 볼 수 있습니다.

$arachni --output-verbose --scope-include-subdomains http://example.com --report-save-path=example.com.afr

$arachni_reporter example.com.afr --reporter=html:outfile=my_report.html.zip

이렇게 하고 저 압축파일을 풀면 html 파일이 나옵니다.
실행한 결과는 아래와 같습니다.



# 현재 테스트중에 에러가 몇가지가 났는데 확인해보니
[Arachni::Browser::Error::Spawn] Could not start the browser process.
이런 에러가 나오고 있었네요.
검색해보니 몇가지 이슈가 있었나봅니다.
이슈 링크: https://github.com/Arachni/arachni/issues/737

확인해보니 파일을 다시 받아서 진행해보라고 해서 개발버전을 다운받아 진행했더니
잘 됩니다.
링크 : http://downloads.arachni-scanner.com/nightlies/

테스트를 진행할 사이트(데모 사이트)가 있습니다.
http://testfire.net/
해킹 데모를 할 수 있는 사이트같은데 지금 스캐너를 돌리는데 한참걸리네요.

결과:
데모 사이트로 테스트했더니 1시간 이상 걸려서 중간에 중단했습니다.

테스트 결과 파일은 아래에 있습니다.
https://drive.google.com/file/d/0B8QyETofNTcvVDhsbVNieFI5aGM/view?usp=sharing

그리고 HTML로 변환하는 명령어로 만든 파일도 첨부하겠습니다.
(명령어 :
$arachni_reporter testfire.net\ 2016-12-30\ 19_44_07\ +0900.afr --reporter=html:outfile=my_report.html.zip)
https://drive.google.com/file/d/0B8QyETofNTcvMzd2eUdueU5hZHc/view?usp=sharing

HTML파일로 만들어서 본 화면입니다.



각각의 차트, 이슈, 보완해야하는 부분 등을 볼 수 있습니다.
좋은 보안 오픈소스 프로젝트입니다.
추천추천

JIRA Plugin - ScriptRunner 소개 #2

관련 글 소개 #1:  https://pineoc.blogspot.com/2019/03/scriptrunner-1.html ScriptRunner 소개 #2 지난 글에서는 Behaviours를 보았고 다음 내용인 콘솔, 리스너 등을 ...