웹 취약점 스캐너 및 취약점 자동 진단,패치 서비스 (Django)

21년도 3월~6월 학과 캡스톤 디자인 프로젝트

 

Topic

입력한 URL을 대상으로 서브 도메인, 디렉토리들의 모든 인자에 대해

5가지의 취약점을 공격 및 보고서로 작성, 반자동 패치 기능 탑재

 

Problem

- 웹 개발시 보안 취약점에 대한 자가진단이 필요

- 발생한 취약점에 대한 지속적인 점검 필요

- 진단 보고서 작성으로 발생하는 과한 노력과 시간 투자

- 취약점 코드 패치의 어려움

- 최근, 시큐어 코딩의 중요성 강조

-> 취약점 진단+반자동 패치+진단 보고서 작성 웹 서비스

 

Project Info

- 대학교 캡스톤 디자인 프로젝트

- 개발 환경: Python, Django, AWS, Celery, RabbitMQ

- 기여도: 50% (4인 프로젝트) / 프로젝트 개발 기간: 4개월

- RFI, LFI, SQLI, XSS, CI, Directory traversal을 진단해주는 웹 Fuzzer

- 학교와 협의해 학교 대상으로 실사용

 

프로젝트 시연 (DVWA를 대상으로 시연) 

 

 

Result

- 교내 캡스톤 디자인 경진 대회 최우수상 수상

- 대학교 캡스톤 디자인 경진 대회 우수상 수상

- OO대학교 대상 취약점 진단 총 5가지의 취약점 발견 (전산팀에서 패치 완료)

- “퍼징 기반 웹 취약점 탐지 기법” 논문 투고

-> 정보보호학회 논문 게재, 하계학술대회 발표

 

아쉬웠던 점

- 예상보다 더 오래 걸리는 진단 속도 

- 코드 반자동 패치의 성능 부족