[정보보안] 강력한 웹 보안 스캐너 - Arachni UI Web

오늘은 arachni라는 무료 Web Application 보안 취약점 진단을 소개드립니다

 

Arachni UI Web이란?

Arachni UI Web은 오픈소스 웹 애플리케이션 보안 스캐너인 Arachni의 웹 기반 UI입니다.
CLI 환경에서만 실행되던 Arachni를 더욱 직관적이고 편리하게 사용할 수 있도록 돕는 프론트엔드 역할을 합니다.
이를 통해 보안 전문가뿐만 아니라, 웹 애플리케이션을 운영하는 개발자나 관리자가 쉽게 웹 보안 테스트를 수행할 수 있습니다.

 

깃허브 링크: https://github.com/Arachni/arachni-ui-web

GitHub - Arachni/arachni-ui-web: Arachni's Web User Interface.

 

일단 우분투 os에 docker-compose가 설치가 되어있다는 가정하에 진행하겠습니다.

---

1. 일단 ssh로 서버에 접근 후 su 권한을 획득합니다. (root)

sudo su - 

or

su -

복사

 

2. 이제 temp라는 폴더를 생성 후 temp 폴더에 접근합니다.

mkdir temp
cd temp

 

 

 

3. 깃허브에서 arachni를 복제합니다.

git clone https://github.com/ahannigan/docker-arachni.git

 

 

4. 이후 해당 폴더로 이동합니다.

cd docker-arachni

 

 

docker-arachni 파일을 확인해보면 아래와 같이 파일이 있습니다.

 

 

README.md 파일을 보면 각종 여러가지 방법으로 구동하는 방법이 있습니다.

 

1. docker-compose로 구동하는 방법

ㄴ 해당 방법을 사용하기 위해서는 /temp/docker-arachni라는 폴더의 docker-compose.yml 파일이 있어야하며, 해당 경로에 있어야합니다.

docker-compose up -d web

 

 

 2. docker-run 명령어로 실행

docker run -d --name arachni -p 9292:9292 ahannigan/docker-arachni bin/arachni_web -o 0.0.0.0

 

 

3. 직접 빌드하기

docker-compose build

 

docker build --build-arg VERSION=1.2.1 --build-arg WEB_VERSION=0.5.7.1 -t arachni .

 

 

빌드 후 실행하기

docker-compose up -d web

 

 

저는 간단하게 다운로드 후 실행하는 2번을 이용해서 진행하겠습니다.

 

구동 사진.

자신의 서버IP:9292로 웹페이지에 접근합니다.

 

 

계정 정보

Email: admin@admin.admin

Password: administrator

 

이후 Sign in을 누르면 로그인이 됩니다.

 

 

이후 상단 [Scans] -> [New]를 눌러줍니다.

 

아래와 같은 화면이 나옵니다. 

 

당연하게도 Target URL은 검색이 필요한 링크를 넣어주시면 됩니다.

localhost는 안된다고하니 여러가지 테스트가 필요합니다.

 

각 옵션이별로 설정하여 취약점 진단을 할 수 있습니다.

 

Arachni UI Web의 주요 특징

1. 웹 기반 인터페이스

터미널 명령어에 익숙하지 않은 사용자도 쉽게 활용할 수 있도록 직관적인 웹 UI를 제공합니다.
이를 통해 스캔을 설정하고 결과를 시각적으로 확인할 수 있습니다.

2. 강력한 보안 스캔 엔진

Arachni UI Web은 Arachni의 핵심 엔진을 활용하여 다음과 같은 다양한 취약점을 탐지할 수 있습니다.

• SQL Injection
• Cross-Site Scripting (XSS)
• Broken Authentication & Session Management
• Insecure Direct Object References (IDOR)
• Security Misconfiguration
• Sensitive Data Exposure

3. 멀티유저 지원

다중 사용자 환경에서도 활용할 수 있도록 사용자 계정 관리 기능이 포함되어 있습니다.
팀 단위로 보안 스캔을 수행하고 결과를 공유할 때 유용합니다.

4. 스캔 히스토리 및 리포트

각각의 스캔 결과를 저장하고, 나중에 다시 확인할 수 있는 기능을 제공합니다.
또한 PDF, JSON, HTML 등의 형식으로 리포트를 생성하여 공유할 수도 있습니다.

5. 자동화 및 확장성

Arachni UI Web은 REST API를 제공하여 자동화된 보안 검사를 설정할 수 있습니다.
이를 활용하면 CI/CD 파이프라인에 통합하여 배포 전 보안 점검을 자동화할 수 있습니다.

 

🚨 경고: 불법적인 웹 스캔 행위는 처벌받을 수 있습니다! 🚨

무단으로 타인의 서버를 스캔하거나 보안 취약점을 검사하는 행위는 명백한 불법 행위이며, 관련 법률에 따라 형사 처벌을 받을 수 있습니다.

✅ 관련 법률:

• 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제48조 (정보통신망 침해행위의 금지)
• 「형법」 제314조 (업무방해)

⚠ 주의:

• 본인의 서버가 아닌 타인의 서버를 무단으로 검사하는 행위는 불법입니다.
• 허가 없이 웹 애플리케이션을 테스트할 경우, 민형사상 책임을 질 수 있습니다.
• 이러한 행위는 서비스 운영을 방해할 뿐만 아니라, 기업이나 기관으로부터 법적 대응을 받을 위험이 있습니다.

🚫 불법 행위 적발 시:

• 형사 처벌 (징역 또는 벌금형)
• 민사 소송 (손해배상 청구)
• IP 차단 및 신고 조치

🔴 반드시 본인의 서버에서만 테스트하십시오!
위 경고를 무시하고 불법적으로 웹 스캔을 수행할 경우, 법적 책임은 전적으로 본인에게 있습니다.

⚠ 무단 테스트로 인한 법적 문제는 책임지지 않습니다.
책임 있는 보안 테스트 환경을 유지해 주시기 바랍니다.

🚨 악의적인 사용은 강력한 법적 조치를 초래할 수 있습니다. 🚨

 

서버포럼 링크:

https://svrforum.com/software/2174766

[정보보안] 강력한 웹 보안 스캐너 - Arachni UI Web