Web Security Checker 개요

Web Security Checker와 웹 취약점에 대한 설명

Web Security Checker는 고객의 웹 서비스를 대상으로 자동으로 취약점을 진단하는 서비스입니다.

서비스 이용 추천 고객

Web Security Checker 서비스는 이런 고객 분들께 추천드립니다.

1) 고가의 웹 취약점 진단 도구나 보안 컨설팅 비용이 부담스러운 고객

웹 서비스의 취약점을 진단하기 위한 별도의 소프트웨어 구매 및 갱신, 모의해킹이나 컨설팅과 같은 웹 취약점 진단 업무 의뢰, 전문 보안 인력 채용 등 서비스 보안을 위해 투자되는 비용들을 대폭 절감할 수 있습니다.

2) 취약점 진단이 급하게 필요한 고객

침해 정황이 발견되었거나 서비스 오픈을 위해 빠르게 웹 취약점 진단이 필요할 경우 효과적으로 이용할 수 있습니다.

3) 보안 인증이나 법률에서 요구하는 취약점 진단을 손쉽게 진행하고자 하는 고객

보안 인증 획득, 개인 정보의 저장/전송/취급, 전자 금융 거래 등 다양한 사업적 니즈에 따라 준수되어야 하는 법률적 요건들을 Web Security Checker 서비스를 통해 빠르고 쉽게 만족시킬 수 있습니다.

4) 운영 중인 서비스에 대해 취약점 진단을 수행하고 싶으나, 보안 담당자가 없는 고객

100% 자동으로 진단되어 대응 방안까지 제시되기 때문에 전문 보안 담당자가 아니더라도 웹 취약점 진단이 가능합니다.

5) 잠재적 취약점을 사전에 찾아내어 조치함으로써 서비스 보안성을 확보하고 싶은 고객

개발된 웹 페이지의 취약점을 진단하여 사전에 조치할 수 있고 이를 통해 보안성이 높고 안정적인 서비스를 고객에게 제공할 수 있습니다.

웹 취약점에 대해

웹 취약점 정의

'웹 취약점'이란 웹 서비스를 운영 혹은 이용할 때 발생될 수 있는 웹 애플리케이션의 소스 코드와 동작 방식 등에 존재하는 보안상 약점을 말합니다.

진단 가능한 취약점

Web Security Checker는 실제로 해커에 의해 가장 많이 이용되는 취약점과 공격이 성공할 경우 피해가 큰 취약점을 중점적으로 진단합니다.

현재는 XSS, SQL Injection, XXE, SSRF 등 주요 웹 취약점에 대한 진단이 가능하며, 진단 가능한 취약점은 계속해서 업데이트될 예정입니다.

진단 가능한 취약점 상세 설명 : https://www.fin-ncloud.com/product/security/webSecurityChecker

서비스 구조와 취약점 진단 방식

서비스 구조

Web Security Checker 서비스는 진단에 필요한 정보를 콘솔로부터 입력받아 진단을 시작합니다. 진단 대상 정보 입력 시 http://, https:// 포함하는 URL 형식으로 입력해야 합니다.

진단 방식

Web Security Checker 서비스는 고객의 웹 서비스에 취약점이 존재하는지 검증하기 위해 다양한 HTTP 패킷을 고객의 웹 서버로 전송하고, 그 응답 값을 면밀히 분석하여 취약 여부를 판단합니다.

진단은 다음과 같이 진행됩니다.

1. 빈틈없는 진단을 수행하기 위해 고객 웹 사이트 내 url들을 크롤링 하여 점검 대상 URL을 수집합니다.
2. 수집된 URL들을 대상으로 취약점 존재 여부를 파악하기 위해 정교하게 구성한 HTTP 패킷을 전송하고 응답 값을 분석해 취약점을 탐지합니다.
3. 탐지된 취약점에 대해 고객에게 적합한 대응 방안을 제시합니다.

모든 과정은 100% 자동화로 진행되어 사람이 찾기 어려운 부분까지 빠르고 빠짐없이 취약점을 찾아낼 수 있습니다.