[WEB HACKING] Web Vulnerability scanning with VEGA WVS(VAGA를 이용한 웹 취약점 스캔)

오랜만에 툴 소개를 합니다. 오래전부터 써오던 WVS(Web Vulnerability Scanner)인데요.. 생각해보니 한번도 블로그에서 다룬적이 없었네요.

## 베가는 SUBGRAPH에서 개발한 무료 웹 취약점 진단 스캐너입니다. UI도 깔끔하고 비 상용인 다른 WVS에 비해 성능도 우수하고 하여 제가 애용하는 스캐너 중 하나죠.

먼저 Java 기반으로 작성되고 JVM을 통해 동작하기 때문에 플랫폼의 영향을 받지 않습니다. 음.. 좀 더 정확히 말하면 Java가 있다면 실행이 가능하다는 소리죠. 이러한 점은 굉장히 장점으로 부각됩니다. 저의 경우 개인적으로는 Linux 만 사용하지만 일도 해야하는지라 환경 자체는 Linux + Windows 위주로 사용하는데, 만약 한쪽 플랫폼만 지원했다면 약간 불편한점이 많이 있었겠죠.

오탐에 대한 이야기도 할까합니다. 이 툴은 오픈소스치곤 탐지율이 좋습니다. 그말인 즉슨 오탐율도 높은편이니 결과에 대해 체킹을 잘 해보셔야 할 것 같습니다.

마지막으로 확장성입니다. VEGA는 각각 스캔 모듈에 대해 확장이 가능합니다. VEGA의 Jar 파일을 까보신분이 얼마나 있을지는 모르겠지만.. 이 툴의 재미있는점은 Java base 내에서 Web 기반 UI를 사용한다는 점이죠. HTML/CSS를 조금 손본다면 리포팅에 대해서도 좀 더 편리하게 수정할 수 있겠죠.

이런점은 모듈 구성에서도 적용됩니다. VEGA는 Javascript 기반 모듈을 지원하며, 필요한 모듈이 있다면 JS로 작성해서 넣어주시면 사용이 가능하죠. 이런점에 있어 참 매력적인 툴입니다.

DOWNLOAD & INSTALL

VEGA 제작사인 SUBGRAPH 홈페이지에 들어가시면 쉽게 다운로드 받을 수 있습니다. 위에서 말씀드려듯이 Java base이기 때문에 OS와 관계없이 동작할 수 있고 Download 링크에서도 Linux, Mac, Windows 등 여러가지 설치 파일을 제공합니다.

먼저 다운로드 페이지로 접근합니다. (https://subgraph.com/vega/download/index.en.html )

아래 보시면 각각 종류별 파일이 있고 OS에 맞게 다운로드해주시면 됩니다.

#> unzip VegaBuild-linux.gtk.x86_64.zip Archive: VegaBuild-linux.gtk.x86_64.zip creating: vega/ creating: vega/plugins/ inflating: vega/plugins/com.google.guava_14.0.1.jar
inflating: vega/plugins/org.jsoup_1.7.3.SNAPSHOT.jar

압축해제된 디렉토리로 이동 후 Vega 파일을 실행해주시면 WVS가 열립니다.

#> cd vega #> ./Vega