클라우드 기반으로 빠르게 웹취약점을 진단
웹취약점 진단
프로그램 설치나 서비스 중단 없이 도메인 입력으로만,
주요 웹 취약점을 빠르게 진단할 수 있습니다.
주요 웹 취약점을 빠르게 진단할 수 있습니다.
250,000원/건(vat별도)
서비스 특징
-
1. 빠르고 효과적인 검사
도메인(URL) 입력으로 간단하게 웹취약점 검사를 실행할 수 있으며, 한개의 URL당 최대 10분안에 스캐닝을 완료할 수 있습니다.
-
2. 클라우드 기반의 주요 취약점 탐지
클라우드 기반의 비 설치형 웹 취약점 진단 서비스로, 클라우드 상에서 웹 페이지에 공격 가능성이 있는 주요 취약점을 안전하게 점검합니다.
-
3. 서비스를 중단하지 않고 점검
현재 운영중인 웹서비스에 영향을 미치지 않고 Full-Depth 웹 취약점 점검이 가능하며, URL내 모든 Sub Page를 모두 점검합니다.
-
4. 점검 후 빠른 리포트 제공
검사 후 진단이 완료되면, 발견된 취약점에 대한 진단 리포트가 1일 내에 전달됩니다. 진단 리포트에는 웹페이지에 어떠한 항목이 취약한지에 대한 설명, 원인, 해결책등이 포함됩니다.
서비스 이용 추천 고객
- · 웹 서비스의 취약점을 보완하여 서비스 보안성을 높이고 싶은 고객
- · 자동화된 방식으로 빠른 취약점 진단이 필요한 고객
- · 고가의 웹 취약점 진단 도구나 보안 컨설팅 비용이 부담스러운 고객
- · 보안 인증이나 법률에서 요구하는 취약점 진단을 손쉽게 진행하고자 하는 고객
진단항목
| 등급 | 구분 | 설명 |
| 1 | SQL Injection | SQL, LDAP, XPATH 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분이 인터프리터로 보내질 때 발생되어, 데이터베이스에 저장된 레코드의 변조, 유출 삭제합니다. |
|---|---|---|
| XPATH Injection | ||
| LDAP Injection | ||
| WebShell Detection | 공격자가 웹 페이지의 권한을 탈취(인젝션 취약점)하거나, 커맨드 쉘(파일 업로드 및 코드 인젝션 취약점)을 삽입한 뒤, PHP, JSP, ASP와 같은 서버 사이드 스크립트 언어로 구성된 파일을 이용하여 다양한 명령어를 원격으로 수행할 수 있습니다. | |
| ShellShock Vulnerability | ||
| Apache Struts2 Vulnerability | ||
| XML External Entities | 패치되지 않은 Windows Server의 내부 SMB 파일 공유, 내부 포트 검색, 원격 코드 실행(RCE) 및 Billion Laughs공격과 같은 서비스 거부 공격을 이용하여 내부 파일을 공개하는데 사용할 수 있습니다. | |
| 2 | Blind SQL Injection | Blind SQL Injection은 SQL Injection과 다르게 쿼리의 참과 거짓을 이용하여, 서버 측 응답을 통해 데이터를 획득하고, 주로 자동화 도구로 이용하여 공격 수행 합니다. |
| SQL Injection Possibility | ||
| 3 | XSS(Cross-Site Script) | 공격자가 희생자의 브라우저에서 사용자 세션을 도용하거나, 웹사이트를 변조시키거나, 악성사이트로 리디렉션 시키거나, 피싱에 활용될 수 있으며 관리자 권한 및 사용 권한 유출이 됩니다. |
| Internal Server Error | 애플리케이션 문제점을 이용하여 의도치 않게 내부 구성 및 작업 정보에 대한 정보를 누출하거나 또는 개인정보 보호를 위반하여, 민감한 정보를 훔쳐보거나 보다 더 강력한 공격을 수행가능 합니다. | |
| 500 Page Error | ||
| 4 | Exceptional Error | 적절한 검증 절차가 없으면 공격자는 피해자를 피싱 또는 악성 사이트로 연결하거나, 승인되지 않은 페이지에 접근 가능합니다. |
| Validation Error | 웹서비스의 동작 중에 함수의 결과 또는 값에 대한 적절한 처리 또는 예외 상황에 대한 조건을 적절하게 검사하지 않는 경우에 예외 오류가 발생하게 됩니다. | |
| POST XML found | POST 메소드를 이용하여 XML이 전송 가능한지에 대한 여부에 따라 공격 유발 하게 됩니다. | |
| (XXE Possible) | ||
| 5 | Directory Listing | 취약한 보안 설정으로 발생하는 취약점으로 백업파일 및 소스코드, 스크립트 파일 유출과 다양한 정보를 공격자에게 정보 노출 됩니다. |
| PHP Information | PHP Information 및 Server Information 취약점은 공격자가 서버에게 정보 요청하여 그에 대한 응답에서 나타나는 취약점이며, 운영체제 서버, PHP 버전등이 외부로 노출 유발됩니다. | |
| Server Information | ||
| Known Directory Found | 공격에 주로 이용되는 알려진 디렉터리 및 어드민 디렉터리는 해당 경로에 접근하여 디렉터리리스팅을 수행하거나 또는 내부의 파일 노출 유발 됩니다. | |
| Admin Directory Found | 알려진 Cgi 디렉터리 및 파일은 최근 발생하는 쉘 쇼크 취약점에 악용되거나 또는 배시쉘을 실행 가능합니다. | |
| Cgi Directory Found | ||
| Cgi File Found |
웹취약점 진단 시 주의사항
1. 웹취약점 진단 중 수집 및 테스트에 의해 값이 기록되거나 데이터가 변경 혹은 삭제될 수 있습니다.
· 의도하지 않았더라도, 웹취약점 수집 및 테스트하는 과정에서 자체적으로 버튼이나 링크등을 클릭하여, 일부 기능이 테스트될 수 있습니다.
· 이런 과정에 의해 데이터가 테스트 정보가 생성, 변경, 삭제가 발생할 수 있습니다.
· 이런 과정에 의해 데이터가 테스트 정보가 생성, 변경, 삭제가 발생할 수 있습니다.
2. 웹취약점 진단 시 트래픽이 증가하거나 사이트의 일부 기능에 대한 응답속도가 지연될 수 있습니다.
· 웹취약점 진단시 테스트로 인한 트래픽이 증가할 수 있습니다.
· 구현되어진 코드에 따라 일부 기능에 대한 응답속도가 지연될 수 있습니다.
· 구현되어진 코드에 따라 일부 기능에 대한 응답속도가 지연될 수 있습니다.
웹취약점 진단 시 위와 같이 의도하지 않은 동작이 발생할 수 있으므로, 테스트 환경(개발 서버)을 이용하거나, 백업이나 모니터링을 활용하면, 만에 하나 발생할 수 있는 위험을
최소화 하여 안전하게 진단받으실 수 있습니다.
취약점 샘플 리포트
1. 진단 신청서 작성
2. 취약점 점검 (1일)
3. 리포트 결과 수신
4. 리포트 결과 Q&A
5. 기술문의 지원
호스팅케이알의 웹취약점 진단 서비스는 비트스캐너(Bitscanner)와 함께 합니다.
| 과금 기준 | 이용 요금 |
| 진단 건 당 | 250,000원 |