pages.kr 날으는물고기·´″°³о♡

			트윗하기

			트윗하기

Acunetix Web Vulnerability Scanner placed first in a paper released by Adam Doup´e, Marco Cova, and Giovanni Vigna from the University of California, Santa Barbara.  In the paper “Why Johnny Can’t Pentest: An Analysis of Black-box Web Vulnerability Scanners”, the authors compared the capalities of eleven black box web security scanners (both commercial and open source) against a realistic test web application called WackoPicko.

“In comparison, our work, to the best of our knowledge, performs the largest evaluation of web application scanners in terms of the number of tested tools (eleven, both commercial and open-source), and the class of vulnerabilities analyzed. In addition, we discuss the effectiveness of different configurations and levels of manual intervention, and examine in detail the reasons for a scanner’s success or failure.”

“we decided to create our own test application, called WackoPicko. It is important to note that WackoPicko is a realistic, fully functional web application.  As opposed to a simple test application that contains just vulnerabilities, WackoPicko tests the scanners under realistic conditions. To test the scanners’ support for clientside JavaScript code, we also used the open source Web Input Vector Extractor Teaser (WIVET). WIVET is a synthetic benchmark that measures how well a crawler is able to discover and follow links in a variety of formats, such as JavaScript, Flash, and form submissions.”

출처 : http://www.acunetix.com

			트윗하기

1.       소스 보안 분석 툴 활용
포티파이 SCA(Fortify Source Code Analysis) 4.0
클록워크(Klockwork) K7,5,
온스 랩스(Once Labs)의 온스 4.1
아모라이즈(armorize)의 Securecode
컴퓨웨어(Compuware)의 DevPartner Security checker

사용시점 : 개발시 부터 활용 가능
사 용 자 : 개발자
적용기간 : 1주일 이내/Web Application
금    액 :  2~3천/개발자(최소 사용자수 제한으로 가격 매우 고가)
리    뷰 : 어플리케이션 보안의 가장 근본적인 대책은 소스보안 이라는 부분에서
           접근하였으나 비용 측면에서 매우 고가이며, 툴은 툴 일뿐이라는 상식
           을 벗어나지는 못함.
단    점 : 투자대비 효과 측면에서 타 솔루션과 비교하여 차이 없음

2.       어플리케이션 취약성 분석 툴
Watchfire의 Appscan 7.6 kor
Acunetix의 Web vulnerability Scanner 5
패닉시큐리티 PSSCANWEB
잉카인터넷   nProtect WebScan
이븐스타     BigLook Scanner

사용시점 :  개발 완료후 테스트 시점  및 운용단계
            (Appscan은 개발시 부터 활용가능)
사 용 자 : 개발자 및 전산 관리자, 보안 관리자
적용기간 : 1일 (취약성 분석 기간),  조치 기간은 개발자의 능력에 따라 상이함
금    액 :  1천~1억 대(기능에 따라 가격차 천차만별)
리    뷰 : 개발 시에 보안을 고려한 개발은 시간적 금전적으로 많은 비용이 수반
           되는 단점으로 인하여, 이를 극복하고자 거꾸로 해커입장에서 취약성을
           자동 분석하고 그에 대한 보고서 및 조치방안 까지 제공하여 소스보안
           과 동일한 효과를 내며, 투자대비 좀더 효율적이며, 다양한 용도로 활용
           가능하다. 소스분석 툴과 마찬가지로 툴이라는 한계는 벗어나지 못함.
           일부 국산 툴은 국정원 보안성 심사라는 형식에 치우친 나머지 수준이하의
           기능을 보임.

3.       Secure Module(보안 모듈)
사용시점 : 개발 시부터 활용 가능
사 용 자 : 개발자
적용기간 : 2-3일 이내/Web Application
금    액 : 2~3천 내외/Web Application
리    뷰 : 개발 시 사용되는 보안 핵심프로세스를 일반 초보 개발자도 손쉽게 적용 가 
             능토록 한 부분이 매우 인상적(초보 개발자도 전체 취약점의 70~80%이상 제
             거 가능), 소스분석 툴이나 취약성분석 툴과 같은 툴의 한계성은 존재하나,
            보안전문가에 의한 모의해킹 및 취약성 분석 비용이 포함된 금액이기 때문에
            비용대비 효과 측면에서 매우 뛰어나다. 또한, 추가비용 없이 타 솔루션에 비
            하여 매우 높은 보안성 구현이 가능한 것이 장점이다.

4.       결  론
최근 개인정보 누출 및 홈페이지 위,변조, 사이버해킹 등의 사고가 빈번하게 발생함에 따라 그와 관련된 솔루션 들이 봇물을 이루고 있지만 자동화된 툴 및 솔루션으로는 그 방어에 한계가 있다는 것을 반드시 염두에 두어야 할 것이다. 반드시 관련 솔루션을 도입 시에 보안전문 컨설턴트에 의한 컨설팅 제공여부를 확인하지 않으면 비용은 비용대로 지불하고 사상누각을 지은 형국이 되고 말 것이다.