웹 취약점 점검

웹 취약점 점검이란 ?

웹 취약점 점검 서비스는 SQL injection, Cross site scripting 등의 취약점을 원격으로 점검해 드리는 서비스입니다.
점검 결과는 보고서로 제공 해 드리며 발견된 취약점을 보완하여 웹사이트의 보안을 강화하실 수 있습니다.

웹 취약점 공격 기법

  • 크로스 사이트 스크립팅 (XSS : Cross Site Scripting) 악성스크립트가 삽입된 게시글 클릭을 유도하여 사용자의 정보를 탈취하는 방법
  • SQL 인젝션 (SQL Injection Flaws) 서버에 특정 SQL문을 입력하여 데이터베이스에 접근, 회원정보 등을 유출할 수 있는 공격
  • 악성 파일 실행 (Insecure Remote File Include) 공격자가 악성 스크립트를 서버에 전달해서 해당 페이지를 통해 전달한 악성 스크립트 코드가 실행되도록 하는 공격
  • 불안전한 직접 객체 참조 (Unsecure Direct Object Reference) 디렉터리 탐색은 웹 브라우저에서 확인 가능한 경로의 상위로 탐색하여 특정 시스템 파일을 다운로드하는 공격 방법
  • 크로스 사이트 요청 참조 (CSRF : Cross Site Request Forgery) XSS와 비슷하지만 악성 스크립트가 삽입된 게시글을 클릭하게 되면 사용자가 의도하지 않은 행위, 즉 글쓰기가 되거나 혹은 물품 구매가 되도록 하는 공격 방법
  • 정보유출 및 부적절한 오류 처리 (Information leakage and Improper Error Handlling) 어플리케이션들은 에러메시지 정보를 이용하여 취약점 노출 시키는 공격 기법
  • 취약한 인증 및 세션 관리 인증과 세션 관리와 연관된 어플리케이션 기능이 올바르게 구현되지 않아, 공격자로 하여금 다른 사용자로 가장하여 패스워드, 키, 세션, 토큰 체계를 위태롭게 하거나,
    구현된 다른 결함들을 악용할 수 있도록 허용
  • 불안한 암호화 저장 악의적인 공격자가 암호화되지 않은 데이터를 획득하여 명의 도용이나 신용카드 사기 발생

보호 조치

기술적 보호조치
데이터베이스 암호화
소스코드의 시큐어 코딩
관리자 ID/패스워드 주기적 변경
패스워드 강화 조치
 
물리적 보호조치
웹방화벽
SSL 적용
네트워크 취약점 최소화
DB 암호화
DB 접근제어
기술적 보호조치
ISMS(Information Security Management
System)를 통한 정보보호관리체계 인증
PIMS(Personal Information Management
System)를 통한 개인정보관리체계 인증
관리자 및 임직원의 주기적인 교육
 

웹 취약점 점검 절차 안내

노트 아이콘
계획수립
  • 일정 및 범위 조율
  • 환경조사
전등 아이콘
취약점 점검
  • 시스템 분석
  • 애플리케이션 분석
서류 아이콘
진단 컨설팅
  • 보고서 작성
  • 진단요약서
너트 아이콘
조치 (고객사 시행)
  • 시큐어 코딩 반영
  • 운영 계획 수립
오른쪽 작은 화살표
오른쪽 작은 화살표
오른쪽 작은 화살표

※ 점검은 오탐지/미탐지의 가능성이 있으며, 점검 결과는 어떠한 증빙자료로도 사용 하실 수 없습니다

견적문의

견적문의
02-6295-1001
business@viaoffice.co.kr