Immunity CANVAS 새로워진 기능

CANVAS새로워진기능

새로워진 CANVAS 에는 아래의 기능들이 더 추가 되었습니다.

Web Application 모의침투테스트의 혁명CANVAS Websiege ( 기본 CANVAS 에 포함 된 추가 도구 )

Web Siege 는 Web Application 공격 frame Work 로써 Web Application 의 구조 분석 및 취약점 탐지를 제공합니다.
Web Application 모의침투테스트를 위한 기본적인 작업을 자동으로 수행하여 손쉽고 빠르게 이용 할 수 있는 취약점을 분리합니다.
분석을 통해 즉시 적용 가능한 취약점을 List –up 하고 적용 가능한 PayLoad 조정 부분을 알려줍니다.
CANVAS 만의 손쉬운 Web Application 모의침투 테스트가 가능하게끔 만들어주는 기본 Tool 입니다.
Web Siege 사용자 인터페이스는 GUI 환경으로 대상사이트 설정하고 , 이용할 모듈을 선택하는 것이 매우 직관적으로 이용이 가능합니다.
공격 및 테스트 결과를 상세하고 출력하고 각 모듈 별 설정을 달리할 수 있으며 자동화 된 공격의 결과를 편리하게 리포트 받을 수 있습니다.

Web siege 의 기본기능

Web Application site 수집하고 사이트 전체의 Layout 을 확인할 수 있습니다.
Pentester 가 이용할 수 있는 취약점을 검출하고 정보를 수집할 수 있습니다.

Spike Proxy 기능

Web siege 를 통해 웹페이지 수집을 하면서 트래픽 경로를 변경 할 수 있습니다.
Spike Proxy 기능을 통해 JavaScript 혹은 Flash 와 같은 동적인 데이터를 캡쳐 할 수 있습니다.

그 외 새로워진 CANVAS 추가 기능

정찰기능
Crawler	웹 사이트 수집
Directory Bruteforce	bruteforce를 통한 숨겨진 하위 디렉터리 발견
Directory Tree	발견된 디렉터리에 대한 목록 생성
Form Login Bruteforce	로그인 폼에 대해 인증 정보 bruteforce 시도
Frameworks	웹 사이트 프레임워크 탐지
Grep	웹 페이지에서 정규 표현식으로 발견되는 내용 탐지
Login	알려진 로그인 폼에 대한 정보를 가지고 웹 사이트로 로그인
Methods	이용 가능한 HTTP 메소드 (i.e. GET, POST) 탐지
Padding Oracle	padding oracle 공격에 취약한 사이트인지 확인
Server Info	서버 정보 수집 (i.e. 호스트 플랫폼, 스크립트 언어 등)
SSL	SSL 인증에 대한 정보 수집
Username Grep	전자메일이나 사용자 이름과 같은 정보를 가져옴
WebDav	취약할 수 있는 WebDAV 디렉터리를 발견함
Web Services	WSDL 정의를 통한 이용 가능한 웹 서비스를 발견함

Attack
Code Disclosure	소스코드를 노출시키는 웹 페이지 발견
Code Injection	코드 인젝션에 취약한 웹 페이지 발견
Command Injection	명령 실행에 취약한 웹 페이지 발견
Cross-Site Scripting	크로스사이트 스크립팅에 취약한 웹 페이지 발견
Local File Inclusion	로컬 파일 포함 취약점에 취약한 웹 페이지 발견
Open Redirect	경로 재성정이 가능한 웹 페이지 발견
Remote File Inclusion	원격 파일 포함이 가능한 취약점이 포함된 웹 페이지 발견
SQL Injection	SQL Injection에 취약한 웹 페이지 발견
SQL Injection Login Bypass	SQL Injection에 취약하여 로그인 인증 폼을 우회하는 취약점 발견
Upload	업로드 폼으로 파일 업로드 시도

Post Exploitation
Acquire Execution	쓰기 가능한 프록시를 이용한 실행 프록시 획득
Convert to MOSDEF	취약한 세트로부터 MOSDEF 생성
OS Recon	운영체제에 대한 정보 획득
Web Server Recon	웹 서버와 가상 도메인에 대한 정보 획득

X X