라스컴 시큐리티
HOME
  • 취약점진단대상
  • 웹 취약점 진단/모의해킹
  • 취약점진단대상

    웹 취약점 진단/모의해킹

    웹 취약점 진단/모의해킹

    운영 중인 웹 애플리케이션에 대하여 보안 취약점 유무와 외부의 공격자가 해당 보안 취약점에 접근하여 공격할 수 있는지 진단합니다.
    또한 발견한 보안 취약점에 대한 대책과 대응 방안을 제시하여 기업과 조직의 ICT 정보 자산을 사전에 보호할 수 있는 정보보호 컨설팅 서비스를 제공합니다.

    개요

    웹 애플리케이션은 다양한 보안 취약점에 노출될 수 있습니다. 보안 전문가는 웹 취약점 진단 및 모의해킹을 통해 보안 취약점을 식별하고 이를 분석하여 해당 취약점이 자산에 미치는 영향을 평가합니다.
    또한 해당 취약점에 대해 해결 방안을 제시하여 운영중인 서비스 및 정보 자산을 효과적으로 보호하는 방안을 안내합니다.

    웹 취약점 진단 및 모의해킹은 진단 대상과 범위를 파악한 뒤 OWASP(Open Web Application Security Project) Top 10등의 점검 기준을 기반으로 대상 정보를 수집하여 보안 취약성 여부를 식별합니다.
    또한 모의해킹 과정에서는 식별한 취약점에 대해 모의해킹 시나리오를 설정한 뒤 실제 공격 상황을 반영한 시뮬레이션 과정을 추가적으로 진행하여 발견된 보안 취약점이 조직과 ICT 자산에 미치는 영향을 평가합니다.

    점검 기준

    • 주요정보통신
      기반시설 취약점
      분석 평가 기준
    • OWASP Top 10
    • 라스컴 자체 분석
      평가 기준
    • 전자금융
      기반시설 취약점
      분석 평가 기준

    스캐닝 도구

    웹 어플리케이션을 정확하고 신속한 점검을 수행하기 위해서 다음과 같은 도구들 중에서 필요한 도구들을 선별, 컨설턴트의 수작업과 함께 병행하여 점검합니다.
    아래의 도구들을 이용하여 대상 시스템 및 웹 어플리케이션에 대한 다양한 정보를 수집합니다.

    구분 설명
    Nmap 시스템의 Port 정보를 스캔하는 도구
    Nslookup DNS 정보를 검색하는 도구
    WireShark 네트워크 패킷 분석 도구

    공격 도구

    웹사이트에 대한 공격 시도는 점검 당시의 최신 악성 코드와 더불어 아래와 같은 도구, 그리고 컨설턴트의 수동 점검 작업을 통해서 실시합니다.

    구분 설명
    Burpsuite 쿠키나 인자 조작에 사용되는 JAVA 기반의 웹 프록시 도구
    Cooxie Toolbar Cookie 조작에 사용하는 도구
    Dir buster URL 스캐닝 공격도구

    점검 항목

    구분 항목
    입력 값 검증 SQL Injection XSS/CSRF Parameter Manipulation
    Open Redirect BOF/Format String XXE Injection
    Header Injection Command Injection 자동화 공격
    인증/세션 쿠키 조작 세션 동시사용/재사용 가능 세션 타임아웃 미적용
    파일 처리
    악성 파일 업로드 중요 파일 다운로드
    계정 정책
    패스워드 정책 미흡 계정 잠금 정책 미흡
    계정 정보 파악 가능성 CAPTCHA 재사용
    보안 설정 안전하지 않은 HTTP 메소드 허용 파일 목록화 에러 처리 미흡
    HTTP Header 내 정보 노출 캐시 설정 미흡 검색엔진 정보 노출 가능성
    정보 노출 중요 정보 평문 통신 소스코드 내 주요정보 노출 요청 및 응답값 내 주요정보 포함
    기타 포함되지 않은 기타 취약점
    *주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(2021)에 따른 점검 수행

    기대 효과

    • - 웹 사이트의 보안 취약점과 잠재적 보안 위협을 사전 탐지하여 대응 조치
    • - 자동화된 보안 취약점 진단 기술과 보안 전문가에 의한 수동 진단을 병행하여 시스템 영향도 최소화
    • - 자체적으로 개발한 보안 평가 기준을 추가 도입함으로써, 웹 사이트 취약점 탐지의 효율 극대화
    • - 잠재적 위협을 사전에 탐지하여 안정적이고 신뢰성 있는 기업의 비즈니스 환경 구축