AI가 웹 앱의 취약점을 찾아 익스플로잇하는 자동화된 침투 테스트 도구

Shannon은 자동화된 침투 테스트(Automated Penetration Testing)를 수행하여, 단순한 알림이 아닌 실제 익스플로잇을 제공한다. 2FA/TOTP 로그인(2FA/TOTP Logins), 브라우저 탐색, 최종 보고서 생성까지 AI가 자동 처리한다. 특히, 소스 코드 분석(Source Code Analysis)을 통해 공격 전략을 수립하고, 실제 브라우저 기반 익스플로잇을 수행하여 취약점의 유효성을 검증한다. 이는 개발팀이 확신을 가지고(Ship with Confidence) 코드를 배포하도록 돕는다.

Shannon은 Nmap, Subfinder, WhatWeb, Schemathesis와 같은 다양한 보안 도구를 통합하여, 타겟 환경에 대한 심층적인 분석을 수행한다. 이러한 도구들을 활용하여 취약점 발견 단계(Discovery Phase)를 강화하고, 보다 정확하고 포괄적인 결과를 도출한다. 특히, 병렬 처리(Parallel Processing)를 통해 분석 및 익스플로잇 단계를 동시에 실행하여, 보고서 생성 시간을 단축한다.

Shannon Lite는 화이트박스(White-box), 즉 소스 코드를 기반으로 하는 애플리케이션 보안 테스트를 수행한다. 이는 소스 코드와 리포지토리 레이아웃에 대한 접근 권한을 필요로 한다. 소스 코드 분석(Source Code Analysis)을 통해 공격 벡터를 식별하고, 실제 익스플로잇을 수행하여 취약점의 유효성을 검증한다. 이는 블랙박스(Black-box) 테스트보다 더 정확하고 상세한 결과를 제공할 수 있다.

Shannon은 두 가지 에디션으로 제공된다. Shannon Lite는 AGPL-3.0 라이선스를 사용하며, 보안팀, 독립 연구원, 자체 애플리케이션 테스트에 적합하다. Shannon Pro는 상용 버전으로, LLM 기반의 데이터 흐름 분석 엔진을 통해 더 깊은 취약점 탐지를 제공한다. Shannon Lite는 핵심 자동화된 AI 침투 테스트 프레임워크를 활용하며, Shannon Pro는 엔터프라이즈급 코드 분석을 위한 고급 기능을 제공한다.