웹 취약점 탐지 분석을 하기 위해서는 여러가지 환경들이 존재한다. 먼저 환경들의 특징들을 보면 다음과 같다. 일단 어떤 환경인지, 툴과 OS들은 어떤식으로 사용해야 하는지에 대해 먼저 알고 실습을 해보는 것이 중요하다.
1. OWASP-ZAP
- 웹 취약점을 탐색하기 위해 사용되는 도구
- 다양한 웹 취약점을 검색할 수 있으며 초보자가 사용하기에도 크게 어렵진 않다.
- 깃허브로 업데이트가 가능해서 지속적으로 유지보수가 가능하다는 것이 큰 장점이다.
- 스파이더 기능이 좋지는 않아서 모든 웹페이지를 자세하게 탐색하는게 불가능하다는 것이 단점이다. 사용자가 일일히 웹페이지에서 실행을 시켜줘야 탐지가 된다.
<OWASP-ZAP 도구 화면>
<메타스플러잇터블 웹페이지 화면>
3. 시큐리티 오니언
- 웹 취약점들을 탐색하는 리눅스 기반으로 만들어진 네트워크 모니터링 탐지 도구
- 데이터수집, 로그탐색 등과 같은 기능을 수행한다.
- 다양한 형태의 명령어를 제공해서 사용하기 편리하다.
- 메모리가 2~4G가 필요하기 때문에 시스템이 무거운 편인게 단점이다. 메모리 사양이 4G이상인 컴퓨터에서 돌릴 것을 권장한다.
- 메모리를 적게 설정하게 되면 스왑이 일어날 가능성이 크다.(탐지되는 숫자가 워낙 많음)
- VM Ware에서 돌리는게 편하다.(개인적인 생각)
<시큐리티 오니언 실행화면>
* 웹 취약점 탐지 구성도 *
<사진출저: 보안프로젝트>
- 기본적인 환경은 우분투 OS기반으로 설계된다.
- 우분투 OS 위에 IDS 엔진들을 올려서 구동시킨다. 주로 쓰는 IDS엔진은 스노트, 수리카타, 브로, OSSEC 정도가 있다.
- IDS 엔진들을 기반으로 각종 도구들을 이용해서 웹 취약점 분석을 하게 되는데 GUI 기반, WEB 기반 으로 된 도구들로 나뉘게 된다. GUI기반으로 이루어진 도구들은 스구일이 가장 대표적이며 웹 취약점 이벤트 분석을 할 때도 많이 쓰는 도구 중 하나이다. OWASP-ZAP에서 탐지되는 웹 이벤트들을 탐지해낸다.
- WEB 기반으로 된 도구들은 스노비, 스쿼트, 엘사가 있는데 주로 스노비가 많이 쓰인다. 스노비는 Ruby on rails로 구성된 웹어플리케이션이며 네트워크 탐지 이벤트 분석 도구로 많이 사용된다. 탐지된 이벤트들을 시각화하고 플러그인을 이용해 확장이 가능하고 pdf형식으로 보고서를 출력해준다는 것이 가장 큰 장점이다. 스쿼트는 스구일 데이터베이스에 저장된 데이터들을 쿼리하고 뷰 이벤트쪽에 많이 사용한다. 이 역시 웹 프로그램 기반이다. 엘사는 중앙집중형 로그 프레임워크이며 웹 프로그램 기반으로 이루어져 있다.
'웹 취약점 탐지 및 분석' 카테고리의 다른 글
Cross site Scripting 취약점 탐지 실습 (0) | 2018.01.09 |
---|---|
Remote OS Command Injection 취약점 탐지 실습(2) (0) | 2018.01.09 |
스노트 규칙 (0) | 2018.01.09 |
Path Traversal 취약점 탐지 실습 (0) | 2018.01.07 |
웹 취약점 탐지 실습 (0) | 2018.01.05 |