Arachni(무료 웹 취약점 진단 툴)

1. Arachni란?

 

 

Arachni는 Ruby 기반의 무료 웹 취약점 진단 도구로 Linux, Mac, Windows 등 다양한 OS를 지원한다.

무료 웹 취약점 진단 도구 중 다른 도구에 비해 높은 수준의 성능을 보이며 무료라는 점이 장점 !

 

 

2. Arachni 설치

Arachni 공식 홈페이지에 접속 후 자신의 OS에 맞는 설치 파일을 다운로드하여 설치한다.

(나는WIndows 환경에서 진행)

 

설치 진행중

 

 

설치 파일이 저장된 폴더

 

운영체제별 실행 파일은 다음과 같이 bin 폴더에 위치하며 여러 bat 파일 중 

웹 취약점 스캔을 위해 arachni_web.bat 파일을 실행한다.

 

arachni_web.bat 파일

 

 

arachni_web.bat 파일 실행

 

bat 파일 실행 후 localhost:9292로 접속하면 다음과 같이 arachni 스캔을 위한 로그인 창으로 접속할 수 있다.

 

arachni WebUI 로그인 페이지

 

로그인 정보는 설치 폴더의 README.txt 파일에서 확인할 수 있으며 다른 여러 정보도 포함되어 있으니 살펴보자

 

 

README.txt

 

 

로그인 후 접속되는 메인 페이지

admin 계정으로 접속한 후 Scans 탭을 눌러 웹 스캔을 위해 총 4가지 항목을 입력한다.

 

1. Target URL : 공격을 수행할 URL 주소

2. Configuration Profile : 공격 수행 기준(Default, XSS, SQL Injection 중 선택)

3. Description : 스캔에 대한 설명

4. Share with: 스캔 결과를 공유할 사용자

 

 

 

Start a scan 설정값 입력

 

각 항목에 웹 취약점 진단을 할 URL 등을 입력후 GO ! 버튼을 누르면 다음과 같이 취약점 진단을 수행한다

 

 

다음과 같이 취약점 진단 수행을 진행하며 완료 시 Finished 에서 수행 정보를 확인할 수 있다.

 

상세 취약점 결과는 사이트 내에서 확인할 수 있지만, 좌측의 report as의 HTML 버튼을 클릭하면 결과가 Zip 파일로 제공되어 매번 취약점 진단을 하지 않아도 결과를 확인할 수 있다.

 

 

웹 취약점 진단 결과 보고서