웹 툴

모바일 네트워크 중간고사 범위

 

웹 브라우저

인터넷 세상을 탐험(브라우징)할 때 사용하는 필수적인 도구

웹 브라우저의 종류 : 마이크로소프트의 인터넷 익스플로러, 구글의 크롬, 모질라의 파이어폭 스등

 

인터넷 익스플로러

 마이크로소프트에서 개발한 웹 브라우저 프로그램

 1995년 8월 16일에 버전 1.0이 첫 선을 보인 후 지속적으로 발전하여 2017년 현재 버전 11 까지 나옴.

인터넷 익스플로러의 개발자 도구

 버전 6 이상부터 ‘개발자 도구’ 기능 내장

 인터넷 익스플로러를 실행하고 [F12]를 누르거나 오른쪽 상단의 설정 메뉴에서 [F12 개발자 도구] 클릭

 가장 많이 사용하는 기능은 요소 찾기와 특정 값 찾기

 

크롬

 2008년 9월 2일에 공개된 구글에서 개발한 웹 브라우저

 가장 많은 사용자를 보유한 웹 브라우저

 2013년에는 버전 25, 2017년에는 버전 58 출시

크롬의 개발자 도구

 브라우저 화면 오른쪽 상단의 설정 아이콘 클릭 후 [도구 더보기]-[개발자 도구] 메뉴 선택

 개발자 도구 화면의 왼쪽 상단에 있는

<Select an element in the page to inspect it> 아이콘을 클릭하고 웹 사이트의 특정 영역을 클릭하면 해당 코드가 개발자 도구 화면에 나타남.

 

파이어 폭스

 모질라에서 개발한 웹 브라우저

파이어 폭스의 개발자 도구

 왼쪽 상단의 <메뉴 열기> 아이콘을 클릭 후 [개발자]-[개발자 도구] 메뉴 선택

 개발자 도구 화면 왼쪽 상단의 <페이지에서 요소 고르기> 아이콘을 클릭하고 웹 페이지의 특정 영역을 선택하면 해당 영역에 대한 소스코드를 볼 수 있음.

 

Target 기능

 [Target] 탭을 선택하면 Burp Suite로 탐색한 사이트에 대한 정보를 확인할 수 있음. (웹 사이트의 구조를 분석할 때 유용)

 

Spider 기능

 해당 사이트에서 수작업으로 확인되지 않는 페이지까지 자동으로 접속하는 기능

 짧은 시간에 매우 많은 사이트에 접속하여 정보를 수집하기 때문에 금융권과 같이 모니터링 하는 사이트의 경우는 주의가 필요함.

 Spider 기능을 실행하려면 [Target] 탭에서 원하는 호스트를 선택 후 마우스 오른쪽 버튼 을 눌러 나타나는 메뉴에서 [Spider this host] 클릭

 사용자의 입력값을 받아서 처리하는 페이지를 조사할 때는 해당 변숫값을 입력하는 창이 뜸.

 중간에 기능을 멈추려면 [Spider] 탭의 <Spider is running>을 클릭하여 <Spider is paused>로 변경

 

Intruder 기능

 공격자가 수작업으로 접속하여 일일이 확인하지 않아도 해당 웹 페이지에 전달되는 변숫값 을 자동으로 생성하여 전달하도록 규칙을 만들어서 해당 페이지를 계속 탐색하는 기능

 [Target] 탭에서 해당 URL을 클릭하여 Intruder 기능으로 보내서 이용

 [Target] : 공격 대상을 정하는 화면

 [Positions] : 어떤 변숫값을 조작할 것인지 정하는 화면,

 [Payloads] : 변숫값의 종류와 범위를 선택할 수 있는 화면

 

 

Repeater 기능

 [Target] 탭에서 특정 페이지를 클릭 후 마우스 오른쪽 버튼을 눌러 <Send to Repeater>를 선택하면 해당 요청을 [Repeater]로 전달

 [Repeater] 탭의 Request 항목을 보면 [Target] 탭에서 전달한 요청이 있음.

 해당 요청을 다시 전달하기 위해 <Go>를 클릭하면 Response 항목에서 결과를 볼 수 있음.

 

 

DB기반

Nikto

 2001년 크리스 설로가 웹 서버와 애플리케이션에 있는 취약점 데이터베이스를 만든 취약점 스캐너

 2000년대 초반에는 꽤 인기를 끌었지만 수많은 웹 취약점 스캐너가 나오면서 인기가 조금 시들해짐.

N-Stealth

 웹 취약점 데이터베이스를 기반으로 하는 웹 취약점 스캐너

 지금은 N-Stalker라는 이름으로 업데이트되고 있음.

 N-Stalker Free 버전 다운로드 : http://www.nstalker.com/products/editions/free

 

특정 웹 취약점 스캐너

Absinthe

 0x90이라는 유명한 해커 그룹에서 활동하던 너미시와 제론이 만든 SQL 인젝션 취약점 툴

 소스포지 사이트(http://sourceforge.net/projects/absinthe)에서 다운로드

Sqlmap

 오픈 소스 툴로 최근 SQL 인젝션 자동화 공격에 많이 사용되고 있음.

Acunetix

 해커들이 사용하는 웹 해킹 방법으로 웹 애플리케이션의 취약점을 찾는 휴리스틱 웹 취약점 스캐너

 2005년 6월에 처음 발표된 이후 지금까지 지속적으로 발전하여 현재 가장 많이 사용되는 상용 웹 취약점 스캐너 중 하나

AppScan

 워치파이어에서 만든 웹 애플리케이션 취약점 스캐너

 2007년에 IBM이 워치파이어를 인수한 후로는 IBM에서 관리