🛠️ Use Tool 🛠️

취약점 분석 도구 흐름도

취약점 분석도구

• Snyk : https://snyk.io/
• Bandit : https://github.com/PyCQA/bandit
• GuardRails : https://www.guardrails.io/

공격 도구

• Commix : https://github.com/commixproject/commix (Command Injection)
• XSSer : https://github.com/epsylon/xsser (XSS)
• SQLmap : https://github.com/sqlmapproject/sqlmap (SQL injection)
• XSRFProbe : https://github.com/0xInfection/XSRFProbe (CSRF)

Installation

초기 필요한 도구들 설치

sudo apt-get install -y build-essential
sudo apt-get install git -y # github 설치
sudo apt-get install sqlmap # sqlmap 설치
sudo apt install python3-pip # pip 설치
sudo apt-get install -y curl # curl 설치
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" #brew 설치(curl사용) 
eval "$(/home/linuxbrew/.linuxbrew/bin/brew shellenv)" #터미널 로그인시 brew 명령어 사용하기 위한 설정

# snyk 설치 및 실행 등록
brew tap snyk/tap 
brew install snyk
snyk auth

#Doker / Doker-Compose 설치
sudo apt install -y\
apt-transport-https \
ca-certificates \
curl \
software-properties-common

sudo apt remove -y docker docker-engine docker.io containerd runc
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
sudo add-apt-repository \
"deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"

sudo apt update
sudo apt install docker-ce
sudo curl -L \
"https://github.com/docker/compose/releases/download/1.28.5/dockercompose-$(uname -s)-$(uname -m)" \
-o /usr/local/bin/docker-compose
sudo chmod +x /usr/local/bin/docker-compose

#Docker 권한 변경
sudo usermod -aG docker ${USER}

# 나머지 공격 도구 사용을 위한 추가적 설치
python3 setup.py

실행 결과

초기 실행 / 분석에 사용될 Github 주소와 GuardRails Api key값 입력

정적 분석이 끝난 후 취약점 개수 출력화면

분석후 경로와 파라미터를 바탕으로 공격을 수행한 화면

취약점 제보