Arachni로 웹 보안 취약점 분석하기
특정 사이트 혹은 프로젝트의 보안 취약점을 점검해볼 목적으로, 무료 플랫폼을 탐색하다 arachni를 사용해보기로 했다. 설치 및 사용 방법, 그 과정에서 발생한 오류 사항 해결 부분까지 정리해보았다.
본인의 경우 window운영체제를 이용하고 있기 때문에 해당 내용을 기반으로 하여 내용을 작성하였다.
목차는 아래와 같이 하였다.
01. 설치 및 실행
01) 설치
02) 실행
02. 취약점 분석
01) 정상진행
02) SCAN ERROR 해결
01. 설치 및 실행
01) 설치
아래 링크에 접속하여 본인의 운영체제와 일치하는 파일을 Downoad한다.
https://www.arachni-scanner.com/download/
Download
Arachni is licensed under the Arachni Public Source License v1.0, requiring a non-free license for cases of commercialization. Please review the license before downloading. Current version: v1.6.1.…
www.arachni-scanner.com
아래는 화면 예시이다.
02) 실행
Download경로에 아래와 같은 파일이 정상 설치 되었다면, 더블클릭하여 실행한다. 이때 cmd창이 확인되며 여러 load가 완료되면 스스로 창이 종료된다.
파일 경로를 입력하여 잘 다운로드를 받으면 아래와 같은 일반폴더를 확인할 수있다.
위에서 언급한 폴더 내부에 bin폴더를 찾을 수 있는데, 그 안에 있는 arachni_web.cmd(.bat)을 실행한다.
실행 후에 cmd창이 하나 띄워지며 로딩작업이 수행된다. 이때 아래 마크업 된 바와 같이 Listening 관련 단락이 조회되면 해당 url을 브라우저에 띄운다.
출력된 페이지에 관리자 권한으로 Sgin in해줄 필요가 있다. 해당 계정 정보는 조금 전에 언급한 Arachni 압축해제 파일에 있는 README.txt에 기재되어 있다.
로그인이 완료되면 설치와 구동은 정상적으로 완료 된 것이다.
02. 취약점 분석
01) 정상진행
로그인이 완료된 상태에서 header부분을 보면 Scan탭이 있다. 아코디언바를 열어준 후 New Scan에 들어가 취약점 분석을 진행할 대상 Url을 입력해주는 것으로 분석은 가능하다.
아래와 같이 ISSU단락에서 분석 결과를 조회할 수 있다.
02) SCAN ERROR 해결
만일 ISSU단락이 0으로 조회될 경우 스캔이 정상적으로 작동하지 않았을 경우도 생각해볼 필요가 있다. 그 경우에는 아래 참조된 유튜브 영상을 통해 해결할 수 있다.
https://www.youtube.com/watch?v=AwON51vMK24