바로가기 메뉴
컨텐츠 바로가기
주메뉴 바로가기
하단정보 바로가기

Is Your Website Hackable?
70% are. Detect and Action with Acunetix

  1. Vulnerability
    Scanner
  2. Indepth Crawl &
    Analysys
  3. Highest Detection
    Rate
  4. Lowest False
    Positives
  5. Vulnerability
    Management
  6. Word Press
    Checks
  7. Network
    Security
  8. Advanced
    Features

AcuSensor 기술: 탐지율 향상, 위양성률 감소

Acunetix AcuSensor 기술은 기존 웹 어플리케이션 스캐너보다 위양성률이 낮으면서 취약점은 더 잘 찾습니다. 아울러 코드의 취약점이 어디 있는지 정확히 짚어 주며 디버그 정보 또한 보고합니다.

블랙박스 스캐닝 기술과 소스코드가 실행될 때 소스코드 내에 있는 센서의 피드백을 결합함으로써 정확도가 높아졌습니다. 블랙박스 스캐닝은 어플리케이션이 어떻게 반응하는지 모르고 분석기는 어플리케이션이 공격을 받을 때 어떻게 하는지 알지 못합니다. 따라서 이 기술들을 결합함으로써 소스코드 분석기와 스캐너를 따로따로 사용할 때보다 더 적절한 결과를 얻습니다.

AcuSensor 기술에는 .NET 소스코드가 필요치 않습니다. 이미 컴파일된 .NET 어플리케이션에 삽입되어 있습니다! 따라서 컴파일러를 설치하거나 웹 어플리케이션 소스코드를 획득할 필요가 없으므로, 제3 .NET 어플리케이션을 사용함에 있어 큰 강점으로 작용합니다. PHP 웹 어플리케이션의 경우에는 처음부터 소스가 사용 가능한 상태입니다.

오늘날 Acunetix는 이 기술을 실행하는 선두주자이며 유일한 웹 Vulnerability Scanner 입니다.

Acunetix AcuSensor 기술 사용의 강점

  • 1. 소스코드 라인 번호, 스택 트레이스, 감염된 SQL 쿼리 등과 같은 취약점 정보를 제공하므로 보다 빨리 취약점을 찾고 제거한다.
  • 2. 웹 어플리케이션의 움직임을 내부적으로 알 수 있기에 웹사이트를 스캔할 때 위양성률을 획기적으로 낮춘다.
  • 3. 취약한 어플리케이션에서 나타나는 웹 어플리케이션 구성 문제나 내부 어플리케이션 내역 노출을 경고한다. 예를 들어, .NET 에서 ‘커스텀 에러’가 나타나면 악성 사용자에게 중요한 어플리케이션 내역을 알릴 수 있다.
  • 4. SQL 인젝션 취약점을 훨씬 더 많이 탐지한다. 이전 SQL 인젝션 취약점은 데이터베이스 에러가 보고되거나 다른 일반적 기술을 통해서만 찾을 수 있었다.
  • 5. SQL 인서트 명령을 포함하는 모든 SQL 명령의 SQL 인젝션 취약점을 탐지한다. 블랙박스 스캐너로는 그러한 SQL 인젝션 취약점을 찾을 수 없다.
  • 6. 웹 서버에 있거나 접근할 수 있는 모든 파일을 인지한다. 해커가 웹사이트에 들어와 어플리케이션 디렉토리에 백도어 파일을 생성하면 AcuSensor 기술을 통해 그 파일을 탐지, 스캔하여 경고한다.
  • 7. AcuSensor 기술은 모든 웹 어플리케이션 인풋을 차단하여 웹사이트에서 가능한 모든 인풋의 포괄적인 목록을 만들고 테스트한다.
  • 8. 친숙한 URL을 검색 엔진으로 쓰는 웹 어플리케이션을 스캔할 때 리라이트 규칙을 쓸 필요가 없다. AcuSensor 기술을 사용함으로써 스캐너는 플라이에서 SEO URL을 새로 쓸 수 있다.
  • 9. 강제 파일 생성 및 제거 취약점을 테스트한다. 예를 들어, 악성 사용자는 취약한 스크립트를 통해 웹 어플리케이션 디렉토리에 파일을 생성하고 실행하여 중요한 웹 어플리케이션 파일에 접근하고 삭제할 수 있다.
  • 10. 이메일 인젝션을 테스트한다. 예를 들어, 악성 사용자는 수취인 목록과 같은 추가 정보 또는 메시지 본문과 같은 추가 정보를 취약한 웹 형식에 첨부하여 수취인을 익명으로 하는 대규모 스팸을 뿌릴 수 있다.

작동 원리

AcuSensor 기술이 사용되면 웹 서버와 교신하여 웹 어플리케이션 구성, 웹 어플리케이션 플랫폼(PHP, .NET) 구성을 찾는다. 센서가 Acunetix WVS 스캐너에서 작동되면 웹사이트에 링크되지 않은 것까지 웹 어플리케이션 디렉토리에 있는 모든 파일 목록을 가져온다. 모든 웹 어플리케이션 인풋 목록도 참조한다. 어플리케이션이 기대하는 인풋이 어떤 유형인지 알기에 어플리케이션에 대해 더 넓은 범위의 테스트를 할 수 있다.

스크린샷 1 – AcuSensor 기술 상관성 다이어그램

또한 웹 어플리케이션이 스캔될 때 웹 어플리케이션과 데이터베이스 사이의 모든 SQL 거래를 스캔한다. 웹 어플리케이션과 데이터베이스 사이에 파고들어, 다른 스캐너처럼 데이터베이스 에러에 의존하지 않고 코드에 있는 SQL 인젝션 취약점을 추적한다.



AcuSensor 기술 취약점 보고

전형적인 스캔으로 찾은 취약점과 달리 AcuSensor 기술로 보고된 취약점은 더 상세한 정보를 담고 있다. 아래의 예에서 보듯이 소스코드 라인 번호, 스택 트레이스, 감염된 SQL 쿼리 등의 내역이 있을 수 있다. AcuSensor 기술이 찾은 각 취약점은 ‘(AS)’라는 제목으로 표시된다.

예 1: Acunetix AcuSensor 기술로 보고된 SQL 인젝션
아래 스크린샷에 보이는 보고된 SQL 인젝션에 대해, SQL 인젝션 취약점에 결과로 나타나는 내용을 포함하는 SQLl 쿼리가 보인다. 스택 트레이스 정보 역시 나타나 개발자가 어디에 문제가 있는지 정확히 보여준다.



스크린샷 2 - Acunetix AcuSensor 기술로 보고된 SQL 인젝션

예 2: Acunetix AcuSensor 기술로 보고된 코드 인젝션
아래 스크린샷에 나타난 보고된 PHP 코드 인젝션에 대해, 보고된 취약점을 발생시키는 코드 라인 번호를 포함하는 취약 파일명이 나타난다. 삽입된 코드 역시 ‘공격 내역’이라는 제목으로 나타난다.



스크린샷 3 – Acunetix AcuSensor 기술로 보고된 PHP 코드 인젝션

결론
위와 같이 AcuSensor 기술을 사용하면 여러 강점이 있다. 위에서 언급한 점 외에도 AcuSensor 기술이 제공하는 정보는 개발자가 훨씬 더 짧은 시간 안에 취약점을 추적하여 제거하게 해준다. 또한 코드에서 무엇이 잘못되어 취약점이 발생했는지 알려준다. 개발자들은 이를 통해 취약점에 대해 더 많이 배우고 앞으로 웹 어플리케이션에서 보안 코드를 쓸 수 있게 해주며 웹 보안에 대한 경각심을 일깨운다.

Acunetix Web Vulnerability Scanner 의 테스트 버전을 다운받아 14일 동안 Acunetix AcuSensor 기술이 블랙박스 스캐닝 기술을 어떻게 능가하는지 보십시오!