웹 스캔이란?
웹 사이트의 취약한 부분을 조사 및 분석하는 도구입니다.
웹 서버의 종류나 버전, 디렉터리 구조 그리고 중요한 파일이 존재하는지 검사합니다.
HTTP 요청을 보내고 서버의 응답 코드를 받아 페이지의 존재여부와 취약한 부분을 확인할 수 있다.
1. xmlrpc.php 스캔
"GET /xmlrpc.php HTTP/1.1" 404 416 "-" "PycURL/7.19.5 libcurl/7.38.0 GnuTLS/3.3.8 zlib/1.2.8 libidn/1.29 libssh2/1.4.3 librtmp/2.3"
워드프레스의 XML-RPC(xmlrpc.php) 기능에는 다양한 취약점이 존재합니다. 이 기능은 HTTP 규약을 이용하여 XML 데이타 송수신을 지원하고 취약한 버전의 경우에는 다른 서버를 공격하는 분산서비스거부공격(DDoS, Distributed Denial of Service)에 악용될 수 있습니다. WordPress로 웹서비스를 운영한다면 "disable xmlrpc", "block xmlrpc" 등의 워드프레스 플러그인을 설치하여 공격을 차단할 수 있습니다.
2. 공개 프록시(Open Proxy) 기능 스캔
"HEAD http://180.163.113.82/check_proxy HTTP/1.1" 404 124 "-" "-"
root@kali:~# curl -v http://180.163.113.82/check_proxy
* Trying 180.163.113.82...
* Connected to 180.163.113.82 (180.163.113.82) port 80 (#0)
> GET /check_proxy HTTP/1.1
> Host: 180.163.113.82
> User-Agent: curl/7.47.0
> Accept: */*
< HTTP/1.1 200 OK
< Server: ADSSERVER/44857
< Date: Thu, 08 Dec 2016 01:34:12 GMT
< Content-Type: text/javascript;charset=UTF-8
< Transfer-Encoding: chunked
< Connection: keep-alive
< Proxy-Check: eyJwcm94eV90eXBlIjoiZWxpdGUiLCJyZW1vdGVfYWRkciI6IjE1MC4xODMuMjI2LjE1OSJ9
< Set-Cookie: __ads_session=SrTHQHUS1AhffxAAnwA=; domain=.180.163.113.82; path=/
< X-Powered-By-ADS: chn-shads-3-17
< {"proxy_type":"elite","remote_addr":"122.32.19.138"}
웹 홈페이지의 프록시 기능이 열려있는 지를 탐지하는 것으로, 만약 웹서버가 공개 프록시(Open Proxy) 기능을 제공하는 경우라면, 웹서버는 위의 200 OK 응답으로 문자열(HEAD http://180.163.113.82/check_proxy)을 공격자에게 전달합니다.
공격자는 문자열을 분석하여 공개 프록시에 접속할 수 있다는 것을 확인한다. 공격자는 이렇게 공개 프록시를 운영중인 서버들을 모아서 "IP주소 세탁", "DDoS 공격" 등에 악용할 수 있습니다.
공개 프록시를 운영하게 되면, 악의적인 공격자들에게, 별다른 공격이 필요없는 효율적인 해킹 방법을 제공할 수 있으므로 주의가 필요합니다.
3. 아파치 톰캣(Apache Tomcat) 관리자 페이지 스캔
"GET /manager/html HTTP/1.1" 404 420 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)"
톰캣 관리자 페이지 스캔입니다.