NAVER Cloud Platform

Platform 2.0 전용 BETA
Web Security Checker

고객의 웹 서비스에 대한 주요 취약점을 자동으로 진단합니다

이용 신청하기

웹 서비스 보안에 위협을 줄 수 있는 요소를 세밀하게 진단

Web Security Checker는 웹 서비스의 잠재적 취약점을 사전에 탐지하고 조치할 수 있도록 신속하고 상세한 검사를 진행합니다.
발견된 취약점에 대응할 수 있는 관련 리포트도 받아볼 수 있습니다.
(검사 항목 : XSS, SQL Injection, SSRF, XXE, LFI, RFI, File Management, File Download, Directory Listing)

  • 빠르고 효과적인 검사

    네이버 서비스에 대한 보안 운영 경험에 기반하여 실제로 침입이 자주 일어나고, 발생 시에 서비스 영향도가 높은 웹 취약점 항목을 위주로 검사합니다. 동적 분석 시스템과 자동 로그인 기능을 통해 검사할 웹 서비스에 포함된 대부분의 페이지를 신속하게 진단합니다.

    상품관련 아이콘
  • 상품관련 아이콘
    안정적인 취약점 탐지

    Smart Crawling 기법을 이용하여 페이지에 대한 불필요한 검사를 줄이고, 자체적인 진단 알고리즘을 통해 웹 서비스에 주는 스트레스를 최소화해 서비스 중인 웹 사이트에 대해서도 안정적으로 진단을 할 수 있습니다.

  • 쉽고 편리한 사용

    웹 기반의 콘솔을 통해 검사할 웹 서비스, 진단 항목, 로그인 정보 등을 손쉽게 입력할 수 있으며, 검사에 따른 서비스 영향을 고려해 검사 시간을 예약할 수 있습니다.
    검사 전에 웹 서비스의 페이지 수 규모를 미리 확인해 볼 수 있어 효과적인 비용 관리도 가능합니다.

    상품관련 아이콘
이용 신청하기

Web Security Checker는 고객의 웹 서비스 상의 취약점을 자동으로 진단하는 상품입니다.
총 9가지 항목의 웹 취약점을 검사하며, 원하는 항목만 선택하여 진단하는 것도 가능합니다.
검사가 끝난 후에는 진단 결과와 함께 발견된 취약점에 대한 대응 방안이 담긴 리포트를 제공합니다.

서비스 이용 추천 고객

  • 웹 서비스의 취약점을 보완하여 서비스 보안성을 높이고 싶은 고객
  • 자동화된 방식으로 빠른 취약점 진단이 필요한 고객
  • 고가의 웹 취약점 진단 도구나 보안 컨설팅 비용이 부담스러운 고객
  • 보안 인증이나 법률에서 요구하는 취약점 진단을 손쉽게 진행하고자 하는 고객

주요 제공 기능

주요 제공 기능 표
기능 설명
진단 상태 및 결과 확인 진단 이력을 웹 기반의 콘솔에서 편리하게 조회할 수 있습니다. 진단이 완료된 건에 대해서는 탐지된
취약점 개수와 결과 리포트를 확인 할 수 있으며, 진단 대기 중인 건에 대해서는 중도 취소도 가능합니다.
진단 항목 설정 기본적으로 9가지 항목의 웹 취약점에 대한 진단이 가능하며, 필요한 점검 항목만 선택하는 것도 가능합니다.
User-Agent 설정 웹 서비스 환경에 맞는 User-Agent를 설정하여 취약점 진단을 수행할 수 있습니다.
진단 일정 설정 고객의 필요에 따라 '즉시' 혹은 '예약' 두 가지 방법으로 진단 시점을 설정할 수 있습니다.
· 즉시 – 진단 신청 후 바로 검사가 시작됩니다.
· 원하는 날짜와 시간에 진단이 시작됩니다.
알림 설정 URL 수집 완료 또는 진단 완료 시 사전에 선택한 방식(e-mail, sms)으로 결과 완료 알림이 전달됩니다. (사전 설정 필요)
진단 리포트 제공 진단 결과를 정리하여 리포트로 제공합니다. 리포트는 발견된 취약점에 대한 상세정보와 더불어
해당 취약점에 대한 대응방안도 함께 제공합니다.

진단 항목

진단 항목 표
XSS 설명 Cross-Site Scripting 의 약자로, 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점 입니다.
발생 원인 웹 페이지에서 사용자로부터 입력 받은 값에 대해 검증이 미흡할 경우 발생합니다.
위험성 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 사용자가 의도하지 않은 작업을 수행하게 할 수 있습니다.
SQL Injection 설명 웹 애플리케이션에서 사용되는 SQL 구문에 공격자가 임의의 구문을 주입(Injection) 하여
내부 데이터베이스의 데이터를 유출, 변조할 수 있는 취약점 입니다.
발생 원인 웹 페이지에서 사용자로부터 입력 받은 값에 대해 검증 없이 그대로 데이터 질의어로 사용할 경우 발생합니다.
위험성 데이터 유출, 변조 외에도 서버에 파일을 쓰거나 읽을 수 있고, 명령어 실행도 가능할 수 있기 때문에
위험도가 높은 취약점 입니다.
SSRF 설명 웹 애플리케이션에서 사용자의 요청을 받아 다른 시스템에 접근하거나 요청을 수행하여 결과를 얻어오는 경우가 있습니다.
이때, 해당 웹 애플리케이션이 외부에서는 접근되지 않는 내부의 다른 서버로 요청하도록 개입하여 내부 서버가
의도하지 않은 행위를 하도록 하는 취약점 입니다.
발생 원인 사용자로부터 입력되는 데이터(도메인 등)에 대해 검증이 미흡하여 발생합니다.
위험성 보안 장비를 우회하고 방화벽 뒤쪽 내부 시스템으로 공격 트래픽이나 추가적인 행위를 이어갈 수 있기 때문에 위험도가 높습니다.
XXE 설명 웹 애플리케이션에서 XML 데이터를 사용하는 경우, XML 문서에서 동적으로 외부 URI의 리소스를 포함시킬 수 있는
External Entity 기능을 악용하여 의도하지 않은 동작을 하도록 하는 취약점 입니다.
발생 원인 XML Request를 파싱하는 페이지에서 발생하며 사용자로부터 XML 데이터 전문을 받거나,
DTD 정의가 가능한 경우 공격 가능합니다.
위험성 서버의 로컬 파일 열람, denial of service등을 유발할 수 있습니다.
LFI, RFI 설명 내/외부(Local/Remote)에 있는 파일을 Include 하여 해당 파일을 실행하는 취약점 입니다.
발생 원인 include(), include_once(), require() 등과 같은 함수에 사용자로부터 입력 받은 정보를 그대로 전달하는 경우에 발생합니다.
위험성 해당 파일을 로드한 시스템에 임의의 명령을 실행할 수 있기 때문에 위험도가 높은 취약점 입니다.
File Download 설명 서버에 존재하는 파일이 의도하지 않게 클라이언트로 다운로드 되는 취약점 입니다.
해커가 원하는 파일을 임의로 다운로드 하거나 파일 내용을 노출시킬 수 있습니다.
발생 원인 File Download 로직에서 파일을 클라이언트로 다운로드 할 때 입력 값 검증을 하지 않을 경우 발생합니다.
위험성 공격자가 접근 권한이 없는 데이터 또는 시스템 정보 등 중요 파일을 획득할 수 있습니다.
Directory Listing 설명 웹 서버 내 모든 디렉터리 또는 일부 디렉터리에 대해 인덱싱이 가능하게 설정되어
디렉터리 내 파일 리스트가 노출되는 취약점입니다.
발생 원인 웹 서버 설정에 의해 해당 기능이 활성화 된 경우 발생합니다. 일부 애플리케이션의 버그로도 발생할 수 있습니다.
위험성 공격자가 웹 애플리케이션의 구조를 파악할 수 있으며, 민감한 정보가 포함된 설정 파일을 열람하여
다양한 공격을 시도할 수 있게 됩니다.
File Management 설명 웹 서버를 운영하는데 불필요한 파일이 존재하고 이에 대해 접근이 가능한 취약점입니다.
위험성 시스템 정보나 데이터베이스 정보 등 중요 정보가 노출될 수 있으며 추가 공격에 활용될 수 있습니다.
이용 신청하기

Web Security Checker 상품은 현재 한시적으로 무료 제공 중입니다.
추후 유료로 변경될 시, 유료화 1개월 전에 해당 상품 이용 고객분들께
메일과 SMS로 안내해 드릴 예정이니 이용에 참고 부탁드립니다.

이용 신청하기

고객지원을 통해 궁금증을 해결하세요