웹 취약점 진단/모의해킹
운영 중인 웹 애플리케이션에 대하여 보안 취약점 유무와 외부의 공격자가 해당 보안 취약점에 접근하여 공격할 수 있는지 진단합니다.
또한 발견한 보안 취약점에 대한 대책과 대응 방안을 제시하여 기업과 조직의 ICT 정보 자산을 사전에 보호할 수 있는 정보보호 컨설팅 서비스를 제공합니다.
개요
웹 애플리케이션은 다양한 보안 취약점에 노출될 수 있습니다. 보안 전문가는 웹 취약점 진단 및 모의해킹을 통해 보안 취약점을 식별하고 이를 분석하여 해당 취약점이 자산에 미치는 영향을 평가합니다.
또한 해당 취약점에 대해 해결 방안을 제시하여 운영중인 서비스 및 정보 자산을 효과적으로 보호하는 방안을 안내합니다.
웹 취약점 진단 및 모의해킹은 진단 대상과 범위를 파악한 뒤 OWASP(Open Web Application Security Project) Top 10등의 점검 기준을 기반으로 대상 정보를 수집하여 보안 취약성 여부를 식별합니다.
또한 모의해킹 과정에서는 식별한 취약점에 대해 모의해킹 시나리오를 설정한 뒤 실제 공격 상황을 반영한 시뮬레이션 과정을 추가적으로 진행하여 발견된 보안 취약점이 조직과 ICT 자산에 미치는 영향을 평가합니다.
점검 기준
- 주요정보통신
기반시설 취약점
분석 평가 기준
- OWASP Top 10
- 라스컴 자체 분석
평가 기준
- 전자금융
기반시설 취약점
분석 평가 기준
스캐닝 도구
웹 어플리케이션을 정확하고 신속한 점검을 수행하기 위해서 다음과 같은 도구들 중에서 필요한 도구들을 선별, 컨설턴트의 수작업과 함께 병행하여 점검합니다.
아래의 도구들을 이용하여 대상 시스템 및 웹 어플리케이션에 대한 다양한 정보를 수집합니다.
| 구분 |
설명 |
| Nmap |
시스템의 Port 정보를 스캔하는 도구 |
| Nslookup |
DNS 정보를 검색하는 도구 |
| WireShark |
네트워크 패킷 분석 도구 |
공격 도구
웹사이트에 대한 공격 시도는 점검 당시의 최신 악성 코드와 더불어 아래와 같은 도구, 그리고 컨설턴트의 수동 점검 작업을 통해서 실시합니다.
| 구분 |
설명 |
| Burpsuite |
쿠키나 인자 조작에 사용되는 JAVA 기반의 웹 프록시 도구 |
| Cooxie Toolbar |
Cookie 조작에 사용하는 도구 |
| Dir buster |
URL 스캐닝 공격도구 |
점검 항목
| 구분 |
항목 |
| 입력 값 검증 |
SQL Injection |
XSS/CSRF |
Parameter Manipulation |
| Open Redirect |
BOF/Format String |
XXE Injection |
| Header Injection |
Command Injection |
자동화 공격 |
| 인증/세션 |
쿠키 조작 |
세션 동시사용/재사용 가능 |
세션 타임아웃 미적용 |
| 파일 처리 |
|
| 계정 정책 |
| 패스워드 정책 미흡 |
계정 잠금 정책 미흡 |
| 계정 정보 파악 가능성 |
CAPTCHA 재사용 |
|
| 보안 설정 |
안전하지 않은 HTTP 메소드 허용 |
파일 목록화 |
에러 처리 미흡 |
| HTTP Header 내 정보 노출 |
캐시 설정 미흡 |
검색엔진 정보 노출 가능성 |
| 정보 노출 |
중요 정보 평문 통신 |
소스코드 내 주요정보 노출 |
요청 및 응답값 내 주요정보 포함 |
| 기타 |
포함되지 않은 기타 취약점 |
*주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(2021)에 따른 점검 수행
기대 효과
- - 웹 사이트의 보안 취약점과 잠재적 보안 위협을 사전 탐지하여 대응 조치
- - 자동화된 보안 취약점 진단 기술과 보안 전문가에 의한 수동 진단을 병행하여 시스템 영향도 최소화
- - 자체적으로 개발한 보안 평가 기준을 추가 도입함으로써, 웹 사이트 취약점 탐지의 효율 극대화
- - 잠재적 위협을 사전에 탐지하여 안정적이고 신뢰성 있는 기업의 비즈니스 환경 구축
