클라우드 기반으로 빠르게 웹취약점을 진단
웹취약점 진단
프로그램 설치나 서비스 중단 없이 도메인 입력으로만,
주요 웹 취약점을 빠르게 진단할 수 있습니다.
250,000원/건(vat별도)
서비스 특징
  • 1. 빠르고 효과적인 검사

    도메인(URL) 입력으로 간단하게 웹취약점 검사를 실행할 수 있으며, 한개의 URL당 최대 10분안에 스캐닝을 완료할 수 있습니다.

  • 2. 클라우드 기반의 주요 취약점 탐지

    클라우드 기반의 비 설치형 웹 취약점 진단 서비스로, 클라우드 상에서 웹 페이지에 공격 가능성이 있는 주요 취약점을 안전하게 점검합니다.

  • 3. 서비스를 중단하지 않고 점검

    현재 운영중인 웹서비스에 영향을 미치지 않고 Full-Depth 웹 취약점 점검이 가능하며, URL내 모든 Sub Page를 모두 점검합니다.

  • 4. 점검 후 빠른 리포트 제공

    검사 후 진단이 완료되면, 발견된 취약점에 대한 진단 리포트가 1일 내에 전달됩니다. 진단 리포트에는 웹페이지에 어떠한 항목이 취약한지에 대한 설명, 원인, 해결책등이 포함됩니다.

서비스 이용 추천 고객
  • · 웹 서비스의 취약점을 보완하여 서비스 보안성을 높이고 싶은 고객
  • · 자동화된 방식으로 빠른 취약점 진단이 필요한 고객
  • · 고가의 웹 취약점 진단 도구나 보안 컨설팅 비용이 부담스러운 고객
  • · 보안 인증이나 법률에서 요구하는 취약점 진단을 손쉽게 진행하고자 하는 고객
진단항목
등급 구분 설명
1 SQL Injection SQL, LDAP, XPATH 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분이 인터프리터로 보내질 때 발생되어, 데이터베이스에 저장된 레코드의 변조, 유출 삭제합니다.
XPATH Injection
LDAP Injection
WebShell Detection 공격자가 웹 페이지의 권한을 탈취(인젝션 취약점)하거나, 커맨드 쉘(파일 업로드 및 코드 인젝션 취약점)을 삽입한 뒤, PHP, JSP, ASP와 같은 서버 사이드 스크립트 언어로 구성된 파일을 이용하여 다양한 명령어를 원격으로 수행할 수 있습니다.
ShellShock Vulnerability
Apache Struts2 Vulnerability
XML External Entities 패치되지 않은 Windows Server의 내부 SMB 파일 공유, 내부 포트 검색, 원격 코드 실행(RCE) 및 Billion Laughs공격과 같은 서비스 거부 공격을 이용하여 내부 파일을 공개하는데 사용할 수 있습니다.
2 Blind SQL Injection Blind SQL Injection은 SQL Injection과 다르게 쿼리의 참과 거짓을 이용하여, 서버 측 응답을 통해 데이터를 획득하고, 주로 자동화 도구로 이용하여 공격 수행 합니다.
SQL Injection Possibility
3 XSS(Cross-Site Script) 공격자가 희생자의 브라우저에서 사용자 세션을 도용하거나, 웹사이트를 변조시키거나, 악성사이트로 리디렉션 시키거나, 피싱에 활용될 수 있으며 관리자 권한 및 사용 권한 유출이 됩니다.
Internal Server Error 애플리케이션 문제점을 이용하여 의도치 않게 내부 구성 및 작업 정보에 대한 정보를 누출하거나 또는 개인정보 보호를 위반하여, 민감한 정보를 훔쳐보거나 보다 더 강력한 공격을 수행가능 합니다.
500 Page Error
4 Exceptional Error 적절한 검증 절차가 없으면 공격자는 피해자를 피싱 또는 악성 사이트로 연결하거나, 승인되지 않은 페이지에 접근 가능합니다.
Validation Error 웹서비스의 동작 중에 함수의 결과 또는 값에 대한 적절한 처리 또는 예외 상황에 대한 조건을 적절하게 검사하지 않는 경우에 예외 오류가 발생하게 됩니다.
POST XML found POST 메소드를 이용하여 XML이 전송 가능한지에 대한 여부에 따라 공격 유발 하게 됩니다.
(XXE Possible)
5 Directory Listing 취약한 보안 설정으로 발생하는 취약점으로 백업파일 및 소스코드, 스크립트 파일 유출과 다양한 정보를 공격자에게 정보 노출 됩니다.
PHP Information PHP Information 및 Server Information 취약점은 공격자가 서버에게 정보 요청하여 그에 대한 응답에서 나타나는 취약점이며, 운영체제 서버, PHP 버전등이 외부로 노출 유발됩니다.
Server Information
Known Directory Found 공격에 주로 이용되는 알려진 디렉터리 및 어드민 디렉터리는 해당 경로에 접근하여 디렉터리리스팅을 수행하거나 또는 내부의 파일 노출 유발 됩니다.
Admin Directory Found 알려진 Cgi 디렉터리 및 파일은 최근 발생하는 쉘 쇼크 취약점에 악용되거나 또는 배시쉘을 실행 가능합니다.
Cgi Directory Found
Cgi File Found
웹취약점 진단 시 주의사항
1. 웹취약점 진단 중 수집 및 테스트에 의해 값이 기록되거나 데이터가 변경 혹은 삭제될 수 있습니다.
· 의도하지 않았더라도, 웹취약점 수집 및 테스트하는 과정에서 자체적으로 버튼이나 링크등을 클릭하여, 일부 기능이 테스트될 수 있습니다.
· 이런 과정에 의해 데이터가 테스트 정보가 생성, 변경, 삭제가 발생할 수 있습니다.
2. 웹취약점 진단 시 트래픽이 증가하거나 사이트의 일부 기능에 대한 응답속도가 지연될 수 있습니다.
· 웹취약점 진단시 테스트로 인한 트래픽이 증가할 수 있습니다.
· 구현되어진 코드에 따라 일부 기능에 대한 응답속도가 지연될 수 있습니다.
웹취약점 진단 시 위와 같이 의도하지 않은 동작이 발생할 수 있으므로, 테스트 환경(개발 서버)을 이용하거나, 백업이나 모니터링을 활용하면, 만에 하나 발생할 수 있는 위험을 최소화 하여 안전하게 진단받으실 수 있습니다.
취약점 샘플 리포트
webc

1. 진단 신청서 작성

 

2. 취약점 점검 (1일)

 

3. 리포트 결과 수신

 

4. 리포트 결과 Q&A

 

5. 기술문의 지원

호스팅케이알의 웹취약점 진단 서비스는 비트스캐너(Bitscanner)와 함께 합니다.
과금 기준 이용 요금
진단 건 당 250,000원