웹/웹 보안

Arachni scanner 설치 및 스캔

비니화이팅 2018. 3. 10. 19:09

오늘은 Web application scanner인 'Arachni scanner' 설치와 간단한 스캔방법을 알아보겠습니다.

해당 글은 Windows 10 (64bit) 기준으로 작성하였습니다.


1. Download

먼저 아래의 주소를 클릭하여 자신의 OS에 맞게 DOWNLOAD 버튼을 눌러줍니다.

무료로 다운로드가 가능합니다.

(설치 경로에 한글이 들어가 있으면 에러가 나면서 실행이 되지 않으니 주의해야 합니다.)

=> http://www.arachni-scanner.com/download/


다운로드가 완료되면 다운받은 exe파일을 실행시켜 설치를 진행합니다.

설치는 저절로 진행이되니 어려울 건 없습니다.


설치가 완료되면 다운받은 파일의 이름으로 폴더가 하나 생성됩니다.

해당 폴더로 들어가면 bin, system 폴더외에 LICENSE, README 등 파일이 존재합니다.


실행파일이 존재하는 bin폴더로 들어가봅니다.


2. arachni_web

bin폴더에 있는 arachni_web을 실행합니다.

실행할때는 마우스 오른쪽 버튼을 눌러 관리자 권한으로 실행을 눌러 실행하면 됩니다.


arachni_web은 Arachni웹서버를 실행하는 역할을 합니다.

웹 브라우저에 http://localhost:9292/를 입력하여 Arachni웹서버로 접속합니다.

그러면 아래와 같이 로그인 페이지가 뜹니다. 

관리자 계정으로 로그인합니다.(Email과 Password는 README파일에 나와있습니다.)


로그인을 하면 아래와 같은 Welcome페이지가 뜹니다.


2-1. Scans

Scans는 웹 어플리케이션의 취약점을 점검하는 메뉴입니다.

상단 메뉴바에 있는 Scans - +New를 클릭합니다.


저는 http://demo.testfire.net을 대상으로 진행하였습니다.

Target URL에 http://demo.testfire.net을 적고 Go!를 눌러 취약점 점검을 시작합니다.


먼저 페이지의 상단부분을 확인해봅니다.

현재 점검중인 URL, 발견된 페이지 수, 경과 시간, 요청 수, 응답 수 등의 정보가 나옵니다.


페이지의 중간부의 Issues 에서는 발견된 취약점 정보를 확인할 수 있습니다.

①은 취약점의 위험도를 나타냅니다.

②에서는 발견된 취약점을 구분하여 볼 수 있습니다.

③을 클릭하면 관련 CWE 링크로 연결됩니다.

④는 해당 취약점이 발견된 URL을 나타내고 왼쪽의 '?'아이콘을 클릭하면 자세한 정보를 볼 수 있습니다.


다음은 '?'아이콘을 누르면 볼 수 있는 페이지입니다.

① inected seed는 삽입된 공격 패턴을 보여줍니다.

② proof는 탐지 근거를 보여줍니다.

③ 은 Request,  ④ 은 Response 입니다.


이상으로 간단하게 Arachni 설치법과 스캔방법을 간단하게 알아보았습니다.

다음시간에는 Arachni를 이용한 XSS 스캔 및 검증을 해보도록 하겠습니다.