BWASP 사용법 가이드

자동 분석 기능

[그림 1]과 같이 처음 URL에 접근하면 Automated, Manual 두 방식이 있는 것을 볼 수 있다. Automated를 클릭하면 자동 분석 기능을 실행할 수 있다.

[그림 1]에서 자동 분석 기능을 실행하면 [그림 2]와 같이 대상 URL이 기본으로 testasp가 되어있는데 테스트하려는 사이트를 입력하고 Proceed 버튼을 클릭한다.

그러면 이미 알고 있는 정보를 입력할 수 있는 화면으로 전환되는데 이미 알고 있는 정보가 있다면 해당 환경을 클릭하고 버전도 입력할 수 있다. (대상 URL에 알고 있는 정보가 없다면 바로 Proceed 버튼을 클릭한다.)

[Essential]

Analysis recursive level은 크롤링 탐색 레벨을 지정할 수 있는 옵션이다. 최대 5000까지 설정할 수 있다. 왼쪽에 보이는 숫자 값을 직접 수정할 수도 있다.

Maximum Processes 멀티 프로세스 개수를 정할 수 있는 옵션이다. 이 개수 지정에 따라 분석 속도를 높일 수 있다. 1부터 10까지가 기본으로 지정할 수 있는 부분이며 0으로 지정하면 멀티 프로세스 개수를 무한정으로 돌릴 수 있다.

[Optional] 공격 옵션 -> Test payloads 테스트 페이로드는 공격을 진행하는 옵션이다. 현재 SQL injection Error만 확인하는 형태의 공격만 진행되도록 구현되어 있다. [Disable Risk Lock] 버튼을 통해서 ‘Unlock’을 한 경우에만 체크하여 진행할 수 있다. (본 도구는 가용성 침해 최소화와 서버 부하를 줄이고 분석하는 것이 목적이므로 해당 공격 옵션에 대해서는 기본으로는 lock이 되어있는 상태다.)

현재 공격 옵션에 맞춰서 결과는 DB에 등록이 되어 Error를 탐지한 페이지가 구분이 되지만 가이드라인에서 노출되는 부분이 아직 개발 중인 상태라 추후 수정되면 바로 업데이트할 예정입니다!

포트 스캔, CSP가 기본적으로 있고 Google Search API 입력 칸이 있다.

여기는 Google 검색을 통한 indexing 정보와 admin 페이지를 발견할 수 있도록 도와주는 기능을 하는데 Google Seach API Key와 Engine ID 값을 넣어야 진행할 수 있다.

	정리하자면 위 옵션 중에 해당하는 값이 없으면 없는 상태로 Proceed 버튼을 클릭하여 넘어가면 된다.

넘어가면 최종 입력된 정보를 확인할 수 있는 페이지로 전환된다. 여기 정보를 요약하면 아래와 같다.

대상 URL
크롤링 탐색 레벨
멀티 프로세스 개수
이미 알고 있는 웹 환경 정보를 입력한 경우에 대한 내용
포트 스캔, CSP, Test payloads(공격 옵션) 등 선택한 옵션에 대한 내용
Google Search API Key와 Engine ID 값

위 값들을 최종 확인 후 Submit 버튼을 클릭하면 바로 자동 분석 기능이 수행된다!

[그림 5]에서 Submit 버튼을 누르면 실시간 알림이 출력되고 조금만 기다리면 바로 자동으로 Dashboard 화면으로 전환된다. 이후 실시간으로 가져오는 웹 환경 정보와 포트 정보 그리고 CVE 개수를 파악할 수 있다.

여기서 [그림 6]에서 입력한 URL 정보를 다시 확인할 수 있으며 이후 다른 정보로 다시 분석을 진행하고 싶을 때는 왼쪽 사이드에 있는 Start 버튼을 클릭하여 [그림 2]로 돌아가서 분석을 진행할 수 있다.

진행되는 중간에 Attack Vector를 실시간으로 보고 싶을 때 [그림 7]의 왼쪽 사이드에서 Attack Vectors를 클릭하면 [그림 7]과 같이 Attack Vector를 확인할 수 있다. 추가되는 실시간 데이터들은 [그림 7]에서 오른쪽 설정 아이콘을 통해 UPDATE를 하면 지속적으로 추가되는 데이터를 볼 수 있다.

그리고 각 분석된 정보 레코드를 클릭하면 자세한 정보를 모달로 확인할 수 있다.