운영 중인 웹 애플리케이션에 대하여 보안 취약점 유무와 외부의 공격자가 해당 보안 취약점에 접근하여 공격할 수 있는지 진단합니다. 또한 발견한 보안 취약점에 대한 대책과 대응 방안을 제시하여 기업과 조직의 ICT 정보 자산을 사전에 보호할 수 있는 정보보호 컨설팅 서비스를 제공합니다.
개요
웹 애플리케이션은 다양한 보안 취약점에 노출될 수 있습니다. 보안 전문가는 웹 취약점 진단 및 모의해킹을 통해 보안 취약점을 식별하고 이를 분석하여 해당 취약점이 자산에 미치는 영향을 평가합니다. 또한 해당 취약점에 대해 해결 방안을 제시하여 운영중인 서비스 및 정보 자산을 효과적으로 보호하는 방안을 안내합니다.
웹 취약점 진단 및 모의해킹은 진단 대상과 범위를 파악한 뒤 OWASP(Open Web Application Security Project) Top 10등의 점검 기준을 기반으로 대상 정보를 수집하여 보안 취약성 여부를 식별합니다. 또한 모의해킹 과정에서는 식별한 취약점에 대해 모의해킹 시나리오를 설정한 뒤 실제 공격 상황을 반영한 시뮬레이션 과정을 추가적으로 진행하여 발견된 보안 취약점이 조직과 ICT 자산에 미치는 영향을 평가합니다.
점검 기준
주요정보통신 기반시설 취약점 분석 평가 기준
OWASP Top 10
라스컴 자체 분석 평가 기준
전자금융 기반시설 취약점 분석 평가 기준
스캐닝 도구
웹 어플리케이션을 정확하고 신속한 점검을 수행하기 위해서 다음과 같은 도구들 중에서 필요한 도구들을 선별, 컨설턴트의 수작업과 함께 병행하여 점검합니다.
아래의 도구들을 이용하여 대상 시스템 및 웹 어플리케이션에 대한 다양한 정보를 수집합니다.
구분
설명
Nmap
시스템의 Port 정보를 스캔하는 도구
Nslookup
DNS 정보를 검색하는 도구
WireShark
네트워크 패킷 분석 도구
공격 도구
웹사이트에 대한 공격 시도는 점검 당시의 최신 악성 코드와 더불어 아래와 같은 도구, 그리고 컨설턴트의 수동 점검 작업을 통해서 실시합니다.
구분
설명
Burpsuite
쿠키나 인자 조작에 사용되는 JAVA 기반의 웹 프록시 도구
Cooxie Toolbar
Cookie 조작에 사용하는 도구
Dir buster
URL 스캐닝 공격도구
점검 항목
구분
항목
입력 값 검증
SQL Injection
XSS/CSRF
Parameter Manipulation
Open Redirect
BOF/Format String
XXE Injection
Header Injection
Command Injection
자동화 공격
인증/세션
쿠키 조작
세션 동시사용/재사용 가능
세션 타임아웃 미적용
파일 처리
악성 파일 업로드
중요 파일 다운로드
계정 정책
패스워드 정책 미흡
계정 잠금 정책 미흡
계정 정보 파악 가능성
CAPTCHA 재사용
보안 설정
안전하지 않은 HTTP 메소드 허용
파일 목록화
에러 처리 미흡
HTTP Header 내 정보 노출
캐시 설정 미흡
검색엔진 정보 노출 가능성
정보 노출
중요 정보 평문 통신
소스코드 내 주요정보 노출
요청 및 응답값 내 주요정보 포함
기타
포함되지 않은 기타 취약점
*주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(2021)에 따른 점검 수행
기대 효과
- 웹 사이트의 보안 취약점과 잠재적 보안 위협을 사전 탐지하여 대응 조치
- 자동화된 보안 취약점 진단 기술과 보안 전문가에 의한 수동 진단을 병행하여 시스템 영향도 최소화
- 자체적으로 개발한 보안 평가 기준을 추가 도입함으로써, 웹 사이트 취약점 탐지의 효율 극대화
