🚀 Permi v0.3.0 – Major Improvements to JS Scanning, AI Accuracy, and Speed

개요

Permi v0.3.0은 JavaScript 스캐닝, AI 정확도, 속도 개선에 중점을 둔 업데이트로, 커뮤니티 피드백을 반영하여 주요 문제점들을 해결했습니다.

주요 내용

• AI 정확도 향상 (CSP 인식): Content-Security-Policy(CSP) 헤더를 인지하여 인라인 스크립트 실행을 차단하는 경우, JavaScript XSS를 실제 취약점이 아닌 안전한 것으로 분류하여 GitHub, 은행, 정부 포털 등 강화된 웹사이트에서 발생하는 오탐(false positive)을 크게 줄였습니다.
• 운영 환경 지원 JavaScript 크롤링 (--js 플래그): Playwright 헤드리스 브라우저를 사용하여 React, Vue, Angular 등의 SPA(Single Page Application)를 렌더링하는 JavaScript 스캐닝이 가능해졌습니다. --js-timeout 옵션으로 타임아웃 설정이 가능하며, JS 스캔 실패 시 정적 HTML로 대체되어 제로-URL 스캔을 방지합니다. XHR/fetch API 엔드포인트 탐지도 가능합니다. (참고: 커뮤니티 에디션의 JS 스캐닝은 실험적 기능입니다.)
• 성능 개선: 동시 SQL 및 XSS 스캐닝 속도가 약 50% 빨라졌으며, URL 중복 제거 기능으로 동일한 매개변수 시그니처를 불필요하게 테스트하는 것을 방지합니다. 무한한 CLI 멈춤을 방지하기 위한 하드 크롤 타임아웃이 추가되었습니다.
• 주요 버그 수정: --export 시 파일이 실제로 작성되지 않던 문제, --export 결과의 하위 폴더 생성 문제, 시간 기반 SQL Injection 로직 개선(SLEEP() 함수 사용, 10초 캡, 6초 임계값), Windows 환경에서의 asyncio 데드락 해결 및 Playwright 스레드 분리 등이 포함되었습니다.

시사점

Permi v0.3.0 업데이트는 커뮤니티 피드백을 적극적으로 반영하여 실제 사용자들이 겪던 불편함을 해소하고, JavaScript 기반 웹 애플리케이션에 대한 보안 스캐닝의 정확성과 효율성을 크게 향상시켰습니다. 이는 개발자들이 보다 신뢰성 높은 보안 점검 결과를 얻고, 취약점을 조기에 발견하여 안전한 소프트웨어 개발을 지원하는 데 기여합니다.