security

웹사이트는 특성상 모든 사용자들이 손쉽게 이용할 수 있어서 보안의  취약점으로 인해 서버시스템 과 연결될 수 있는 가능성이 존재합니다.
아무리 시스템 보안이 잘되어 있더라도 웹서비스의 개발 문제점으로 인해 시스템을 침입하거나, 이용자들의 정보를 따로 빼돌릴 수 있는 등 큰 문제점을 항상 야기 할 수 있는 있습니다.

하지만 웹의 취약점을 수많은 페이지들을 수동으로 진단하기는 불가능에 가깝습니다.
이번에는 웹사이트 취약점을 분석할 수 있는 Websecurify 라는 프로그램을 소개해 드립니다.

Websecurify는 구글 프로젝트로 무료로 제공하는 아래 사이트에서 다운로드하여 이용할 수 있습니다.
개발자 버전의 경우 보고서 생성 기능에 제한이 있다. 해당 버전의 다운로드는 아래 사이트에서 가능하다.

http://code.google.com/p/websecurify/



실제 운영중인 사이트를 테스트 목적이라도 실행하지 말자. 취약점 진단 도구도 해킹 행위로 간주될 수 있습니다.

사용방법은 간단합니다.

진단하고자 하는 사이트 주소를 적어주는 것으로 간단히 진행할 수 있다. SQL injection, CSS(Cross-site scripting), 그 외 OWASP Top 10 기준 취약 항목들에 대해 진단이 가능한데 진단 결과는 아래와 같이 보고서 형식과 항목별로 나누어 확인할 수 있으며 .html, .csv, .xml 등으로 파일로도 저장이 가능하다.