WEB 어플리케이션 취약점 진단
인터넷을 통해 외부에서 WEB 어플리케이션의 취약점을 진단하는 서비스입니다. 악의적인 공격과 같은 수준의 외부에서의 진단은 최신 보안 정보를 바탕으로 실시되기 때문에 도입시의 취약점 진단뿐만 아니라 기존 시스템의 취약점을 확인 할 수 있습니다.
- 특징
-
- ・최신 보안 정보를 바탕으로 외부에서 동적으로 진단
- ・긴급하게 보완되어야 할 문제점에 대해 전달
- ・취약점의 특정과 긴급성을 가시화
- ・스마트 폰, 모바일 웹 사이트도 점검 가능(HTML5)
진단 대상
외부 공개된 Web 서비스를 하는(공인IP, 사설IP)WEB 어플리케이션
- 주요 WEB 어플리케이션
- 온라인 쇼핑, 여행사, 온라인 뱅킹,온라인 게임, 블로그, SNS, E-러닝, 그룹웨어, CMS (콘텐츠 관리 시스템) 공급 업체에서 제공하는 API 및 기타 WEB 서비스를 배포 할 패키지 소프트
진단 방법
외부에서 취약점을 점검하는 자동화된 도구를 이용, 동적으로 취약점을 진단하고 전문가에 의한 수동점검으로 취약점을 발견합니다..
진단 순서
진단 대상 Web 사이트에 대한 구조를 조사 후 세부 진단 계획을 수립합니다.
BBSec의 진단 방법
자동 도구 진단 및 수동 진단을 함께 실시하고 정확도를 더욱 향상시키고 있습니다.
자동 도구 진단은 편의성을 제공하지만 오탐이 발생을 할 수 있고 결과 그대로를 시스템의 취약점으로 결론 낼 수 없습니다. 또한 자동 도구 진단 및 수동 진단 결과의 취약점 레벨은 ★ 표와 같은 차이가 발생합니다.
BBEC에서 제공하는 자동화 진단 및 수동 진단 결과를 함께 확인하여 시스템의 운영현황를 파악하고, 전문가의 의견을 추가하여 문제점을 파악하고 그 문제점에 대한 중요도를 명확하게 하여 개선을 위한 권고 사항을 전달해 드리고 있습니다..
주요 진단 항목
| 인증 | 로그인 Form에 대한 조사, 로그인 송수신 정보에 대한 조사 |
|---|---|
| 세션 관리 | Cookie의 관리/암호화 여부, 세션 ID 관한 진단, Cross-site request forgery |
| 입출력 처리 | cross-site scripting, SQL Injection, Command Injection, Directory Traversal, File Upload, Parameter Manipulation |
| 일반적인 취약점 | 알려진 소프트웨어 취약점 , Forced browsing, 디렉토리 목록 |
| Web 서버 설정 | 시스템 정보의 노출, 서버 오류 메시지 |
※일부 점검 항목은 수동으로 점검이 진행 될 수 있습니다..
