Login
      내용 x
      Web Security Checker 주의사항
        • 인쇄
        • PDF
        내용

        Web Security Checker 주의사항

          • 인쇄
          • PDF
          Article Summary

          고객 주의사항

          1) 수집/진단 중 스크립트가 실행되어 파일, 테스트 값이 생성되거나 데이터가 변경 또는 삭제될 수 있습니다.

          Web Security Checker는 페이지 수집 능력을 극대화하기 위해 동적으로 페이지를 방문하는 과정에서 스스로 버튼 또는 링크를 클릭하여 특정 기능이 실행될 수 있습니다. 이런 이유로 의도하지 않은 데이터의 변경, 삭제, 테스트 데이터 입력이 일부 발생할 수도 있습니다. 단, 이러한 행위가 발생하지 않도록 최대한 안전하게 설계되었음에도 개발된 코드에 따라서 불가피하게 행해지는 경우도 있습니다.

          2) 관리자에게 임의 메일이 발송될 수 있습니다.

          웹 서비스에서 관리자에게 메일을 발송하는 기능이 구현되어 있는 경우, 테스트 값이 삽입된 메일이 발송될 수 있습니다.

          3) 진단하는 동안 트래픽이 증가할 수 있습니다.

          자체 개발한 진단 알고리즘을 통해 취약점 진단 시 트래픽 발생을 최소화하였으나, 취약점 진단 솔루션 특성상 어느 정도 트래픽이 발생할 수 있습니다.

          4) 사이트의 응답 속도가 지연될 수 있습니다.

          Web Security Checker는 웹 취약점을 명확히 진단하기 위해 많은 HTTP 패킷을 웹 서버로 전송하고 있습니다. 이때 사이트의 응답 속도가 느려지는 것을 막기 위해 각종 안전장치 추가와 최적의 진단 알고리즘을 적용해 요청을 최소화하였습니다. 실제로 비슷한 동작을 하는 S/W에 비해 훨씬 더 안전하고 적은 트래픽을 발생시키고 있습니다. 그럼에도 불구하고 구현된 코드에 따라 일부 사이트의 경우 응답 속도가 지연될 수 있습니다. 특히 SQL 관련 취약점이 존재할 경우 잘못된 코딩으로 인한 지연 현상이 발생할 수도 있습니다.

          5) URL 수집 및 진단이 어려운 경우가 있습니다.
          Web Security Checker 는 SSR(Server Side Rendering), CSR(Client Side Rendering) 기반의 웹 페이지와 DOM 클릭 이벤트에 의해서 랜더링되는 웹 페이지에서의 URL 수집을 지원하고 있습니다. 다만, SPA 방식으로 개발된 사이트에서 클릭 외 이벤트가 발생할 때 요청하는 URL 은 수집하지 않습니다. 또한 JSON 방식으로 요청하는 웹 사이트의 경우 정상적인 진단이 어려울 수 있습니다. (※ 향후 지원 예정)

          6) 오탐이 발생할 수 있습니다.
          Web Security Checker는 다년간 쌓은 기술적 노하우를 통해 잠재적 취약점까지 찾아내는 방식으로 설계/구현하여 탐지율을 최대한 높였습니다.

          하지만 자동 진단 툴이라는 특성상 오탐과 미탐의 가능성이 존재하므로, 추가 검증이 필요할 수 있습니다.

          좀 더 안전하게 진단하기 위한 팁

          1) 테스트 환경을 이용하세요.

          Web Security Checker는 비교적 안전하게 작동하도록 설계되어 있습니다. 그럼에도 불구하고 웹 취약점을 잘 찾기 위해 일부 의도치 않은 동작이 발생할 수 있어 주의가 필요합니다.

          이러한 상황을 대비하여 알파, 베타, 개발 서버 등 리얼 서버가 아닌 테스트 환경을 이용하시면 좀 더 안전하게 진단 서비스를 받으실 수 있습니다.

          2) 백업과 모니터링을 해주세요.

          진단 전 데이터 백업을 권고 드리며, 진단 중에는 서비스가 정상적으로 동작하는지 모니터링할 것을 권고드립니다.
          이를 통해 만에 하나 발생할 수 있는 위험을 최소화하여 좀 더 안전하게 진단을 받을 수 있습니다.

          3) 제외 URL을 활용하세요.

          ‘제외 대상 정보 입력’ 기능을 통해 진단에서 제외하고자 하는 URL을 입력할 수 있습니다. 웹 서비스에 큰 영향을 줄 수 있는 페이지나 수집/진단 과정에서 페이지 내 스크립트 실행 차단이 필요한 페이지를 사전에 입력하여 진단 대상에서 제외해 주세요.
          security-7-104-2_ko.png

          4) 인증이 필요한 경우, 인증에 사용된 계정에 꼭 필요한 권한만 부여해 주세요.

          관리자 또는 개발자 계정과 같은 권한의 경우 의도치 않은 동작 발생 시 일반 계정에 비해 위험 부담이 커질 수 있습니다.
          HTTP Header 입력을 통해 인증 정보를 입력할 경우 해당 계정의 권한에 적절한 권한만 부여되었는지 확인이 필요합니다.

          security-7-105-2_ko.png

          5) 예약 기능을 이용해 고객 이용이 적은 시간에 진단하세요.

          서비스를 정식으로 제공 중인 경우 안전한 진단이 필수이므로, 이용자가 많은 시간보다는 이용자가 적은 새벽 시간에 진단하는 것을 권장합니다.

          security-7-106-2_ko.png

          이 문서가 도움이 되었습니까?
          What's Next
          Change password!
          Changing your password will log you out immediately. Use the new password to log back in.
          Change profile
          Success!
          First name must have atleast 2 characters. Numbers and special characters are not allowed.
          Last name must have atleast 1 characters. Numbers and special characters are not allowed.
          Enter a valid email
          Enter a valid password
          Your profile has been successfully updated.
          Logout