네이버 클라우드 BIZ 본문영역
특징
웹 서비스 보안에 위협을 줄 수 있는 요소를 세밀하게 진단
Web Security Checker는 웹 서비스의 잠재적 취약점을 사전에 탐지하고 조치할 수 있도록 신속하고 상세한 검사를 진행합니다.
발견된 취약점에 대응할 수 있는 관련 리포트도 받아볼 수 있습니다.
(검사 항목 : XSS, SQL Injection, SSRF, XXE, LFI, RFI, File Management, File Download, Directory Listing)
-
빠르고 효과적인 검사
네이버 서비스에 대한 보안 운영 경험에 기반하여 실제로 침입이 자주 일어나고, 발생 시에 서비스 영향도가 높은 웹 취약점 항목을 위주로 검사합니다. 동적 분석 시스템과 자동 로그인 기능을 통해 검사할 웹 서비스에 포함된 대부분의 페이지를 신속하게 진단합니다.
-
안정적인 취약점 탐지
Smart Crawling 기법을 이용하여 페이지에 대한 불필요한 검사를 줄이고, 자체적인 진단 알고리즘을 통해 웹 서비스에 주는 스트레스를 최소화해 서비스 중인 웹 사이트에 대해서도 안정적으로 진단을 할 수 있습니다.
-
쉽고 편리한 사용
웹 기반의 콘솔을 통해 검사할 웹 서비스, 진단 항목, 로그인 정보 등을 손쉽게 입력할 수 있으며, 검사에 따른 서비스 영향을 고려해 검사 시간을 예약할 수 있습니다.
검사 전에 웹 서비스의 페이지 수 규모를 미리 확인해 볼 수 있어 효과적인 비용 관리도 가능합니다.
상세기능
Web Security Checker는 고객의 웹 서비스 상의 취약점을 자동으로 진단하는 상품입니다.
총 9가지 항목의 웹 취약점을 검사하며, 원하는 항목만 선택하여 진단하는 것도 가능합니다.
검사가 끝난 후에는 진단 결과와 함께 발견된 취약점에 대한 대응 방안이 담긴 리포트를 제공합니다.
서비스 이용 추천 고객
- 웹 서비스의 취약점을 보완하여 서비스 보안성을 높이고 싶은 고객
- 자동화된 방식으로 빠른 취약점 진단이 필요한 고객
- 고가의 웹 취약점 진단 도구나 보안 컨설팅 비용이 부담스러운 고객
- 보안 인증이나 법률에서 요구하는 취약점 진단을 손쉽게 진행하고자 하는 고객
주요 제공 기능
| 기능 | 설명 |
|---|---|
| 진단 상태 및 결과 확인 | 진단 이력을 웹 기반의 콘솔에서 편리하게 조회할 수 있습니다. 진단이 완료된 건에 대해서는 탐지된 취약점 개수와 결과 리포트를 확인 할 수 있으며, 진단 대기 중인 건에 대해서는 중도 취소도 가능합니다. |
| 진단 항목 설정 | 기본적으로 9가지 항목의 웹 취약점에 대한 진단이 가능하며, 필요한 점검 항목만 선택하는 것도 가능합니다. |
| User-Agent 설정 | 웹 서비스 환경에 맞는 User-Agent를 설정하여 취약점 진단을 수행할 수 있습니다. |
| 진단 일정 설정 |
고객의 필요에 따라 '즉시' 혹은 '예약' 두 가지 방법으로 진단 시점을 설정할 수 있습니다. · 즉시 – 진단 신청 후 바로 검사가 시작됩니다. · 원하는 날짜와 시간에 진단이 시작됩니다. |
| 알림 설정 | URL 수집 완료 또는 진단 완료 시 사전에 선택한 방식(e-mail, sms)으로 결과 완료 알림이 전달됩니다. (사전 설정 필요) |
| 진단 리포트 제공 | 진단 결과를 정리하여 리포트로 제공합니다. 리포트는 발견된 취약점에 대한 상세정보와 더불어 해당 취약점에 대한 대응방안도 함께 제공합니다. |
진단 항목
| XSS | 설명 | Cross-Site Scripting 의 약자로, 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점 입니다. |
|---|---|---|
| 발생 원인 | 웹 페이지에서 사용자로부터 입력 받은 값에 대해 검증이 미흡할 경우 발생합니다. | |
| 위험성 | 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 사용자가 의도하지 않은 작업을 수행하게 할 수 있습니다. | |
| SQL Injection | 설명 | 웹 애플리케이션에서 사용되는 SQL 구문에 공격자가 임의의 구문을 주입(Injection) 하여 내부 데이터베이스의 데이터를 유출, 변조할 수 있는 취약점 입니다. |
| 발생 원인 | 웹 페이지에서 사용자로부터 입력 받은 값에 대해 검증 없이 그대로 데이터 질의어로 사용할 경우 발생합니다. | |
| 위험성 | 데이터 유출, 변조 외에도 서버에 파일을 쓰거나 읽을 수 있고, 명령어 실행도 가능할 수 있기 때문에 위험도가 높은 취약점 입니다. |
|
| SSRF | 설명 |
웹 애플리케이션에서 사용자의 요청을 받아 다른 시스템에 접근하거나 요청을 수행하여 결과를 얻어오는 경우가 있습니다. 이때, 해당 웹 애플리케이션이 외부에서는 접근되지 않는 내부의 다른 서버로 요청하도록 개입하여 내부 서버가 의도하지 않은 행위를 하도록 하는 취약점 입니다. |
| 발생 원인 | 사용자로부터 입력되는 데이터(도메인 등)에 대해 검증이 미흡하여 발생합니다. | |
| 위험성 | 보안 장비를 우회하고 방화벽 뒤쪽 내부 시스템으로 공격 트래픽이나 추가적인 행위를 이어갈 수 있기 때문에 위험도가 높습니다. | |
| XXE | 설명 | 웹 애플리케이션에서 XML 데이터를 사용하는 경우, XML 문서에서 동적으로 외부 URI의 리소스를 포함시킬 수 있는 External Entity 기능을 악용하여 의도하지 않은 동작을 하도록 하는 취약점 입니다. |
| 발생 원인 |
XML Request를 파싱하는 페이지에서 발생하며 사용자로부터 XML 데이터 전문을 받거나, DTD 정의가 가능한 경우 공격 가능합니다. |
|
| 위험성 | 서버의 로컬 파일 열람, denial of service등을 유발할 수 있습니다. | |
| LFI, RFI | 설명 | 내/외부(Local/Remote)에 있는 파일을 Include 하여 해당 파일을 실행하는 취약점 입니다. |
| 발생 원인 | include(), include_once(), require() 등과 같은 함수에 사용자로부터 입력 받은 정보를 그대로 전달하는 경우에 발생합니다. | |
| 위험성 | 해당 파일을 로드한 시스템에 임의의 명령을 실행할 수 있기 때문에 위험도가 높은 취약점 입니다. | |
| File Download | 설명 |
서버에 존재하는 파일이 의도하지 않게 클라이언트로 다운로드 되는 취약점 입니다. 해커가 원하는 파일을 임의로 다운로드 하거나 파일 내용을 노출시킬 수 있습니다. |
| 발생 원인 | File Download 로직에서 파일을 클라이언트로 다운로드 할 때 입력 값 검증을 하지 않을 경우 발생합니다. | |
| 위험성 | 공격자가 접근 권한이 없는 데이터 또는 시스템 정보 등 중요 파일을 획득할 수 있습니다. | |
| Directory Listing | 설명 |
웹 서버 내 모든 디렉터리 또는 일부 디렉터리에 대해 인덱싱이 가능하게 설정되어 디렉터리 내 파일 리스트가 노출되는 취약점입니다. |
| 발생 원인 | 웹 서버 설정에 의해 해당 기능이 활성화 된 경우 발생합니다. 일부 애플리케이션의 버그로도 발생할 수 있습니다. | |
| 위험성 |
공격자가 웹 애플리케이션의 구조를 파악할 수 있으며, 민감한 정보가 포함된 설정 파일을 열람하여 다양한 공격을 시도할 수 있게 됩니다. |
|
| File Management | 설명 | 웹 서버를 운영하는데 불필요한 파일이 존재하고 이에 대해 접근이 가능한 취약점입니다. |
| 위험성 | 시스템 정보나 데이터베이스 정보 등 중요 정보가 노출될 수 있으며 추가 공격에 활용될 수 있습니다. |