- 인쇄
- PDF
Web Security Checker 개요
- 인쇄
- PDF
Web Security Checker와 웹 취약점에 대한 설명
Web Security Checker는 고객의 웹 서비스를 대상으로 자동으로 취약점을 진단하는 서비스입니다.
서비스 이용 추천 고객
Web Security Checker 서비스는 이런 고객 분들께 추천드립니다.
1) 고가의 웹 취약점 진단 도구나 보안 컨설팅 비용이 부담스러운 고객
웹 서비스의 취약점을 진단하기 위한 별도의 소프트웨어 구매 및 갱신, 모의해킹이나 컨설팅과 같은 웹 취약점 진단 업무 의뢰, 전문 보안 인력 채용 등 서비스 보안을 위해 투자되는 비용들을 대폭 절감할 수 있습니다.
2) 취약점 진단이 급하게 필요한 고객
침해 정황이 발견되었거나 서비스 오픈을 위해 빠르게 웹 취약점 진단이 필요할 경우 효과적으로 이용할 수 있습니다.
3) 보안 인증이나 법률에서 요구하는 취약점 진단을 손쉽게 진행하고자 하는 고객
보안 인증 획득, 개인 정보의 저장/전송/취급, 전자 금융 거래 등 다양한 사업적 니즈에 따라 준수되어야 하는 법률적 요건들을 Web Security Checker 서비스를 통해 빠르고 쉽게 만족시킬 수 있습니다.
4) 운영 중인 서비스에 대해 취약점 진단을 수행하고 싶으나, 보안 담당자가 없는 고객
100% 자동으로 진단되어 대응 방안까지 제시되기 때문에 전문 보안 담당자가 아니더라도 웹 취약점 진단이 가능합니다.
5) 잠재적 취약점을 사전에 찾아내어 조치함으로써 서비스 보안성을 확보하고 싶은 고객
개발된 웹 페이지의 취약점을 진단하여 사전에 조치할 수 있고 이를 통해 보안성이 높고 안정적인 서비스를 고객에게 제공할 수 있습니다.
웹 취약점에 대해
웹 취약점 정의
'웹 취약점'이란 웹 서비스를 운영 혹은 이용할 때 발생될 수 있는 웹 애플리케이션의 소스 코드와 동작 방식 등에 존재하는 보안상 약점을 말합니다.
진단 가능한 취약점
Web Security Checker는 실제로 해커에 의해 가장 많이 이용되는 취약점과 공격이 성공할 경우 피해가 큰 취약점을 중점적으로 진단합니다.
현재는 XSS, SQL Injection, XXE, SSRF 등 주요 웹 취약점에 대한 진단이 가능하며, 진단 가능한 취약점은 계속해서 업데이트될 예정입니다.
진단 가능한 취약점 상세 설명 : https://www.fin-ncloud.com/product/security/webSecurityChecker
서비스 구조와 취약점 진단 방식
서비스 구조
Web Security Checker 서비스는 진단에 필요한 정보를 콘솔로부터 입력받아 진단을 시작합니다. 진단 대상 정보 입력 시 http://, https:// 포함하는 URL 형식으로 입력해야 합니다.
진단 방식
Web Security Checker 서비스는 고객의 웹 서비스에 취약점이 존재하는지 검증하기 위해 다양한 HTTP 패킷을 고객의 웹 서버로 전송하고, 그 응답 값을 면밀히 분석하여 취약 여부를 판단합니다.
진단은 다음과 같이 진행됩니다.
- 빈틈없는 진단을 수행하기 위해 고객 웹 사이트 내 url들을 크롤링 하여 점검 대상 URL을 수집합니다.
- 수집된 URL들을 대상으로 취약점 존재 여부를 파악하기 위해 정교하게 구성한 HTTP 패킷을 전송하고 응답 값을 분석해 취약점을 탐지합니다.
- 탐지된 취약점에 대해 고객에게 적합한 대응 방안을 제시합니다.
모든 과정은 100% 자동화로 진행되어 사람이 찾기 어려운 부분까지 빠르고 빠짐없이 취약점을 찾아낼 수 있습니다.