Web Security Checker 개념

Classic/VPC 환경에서 이용 가능합니다.

Web Security Checker를 쉽게 이해하고 활용할 수 있도록 진단 방식과 진단 리포트 등의 개념에 대해 설명합니다.

웹 취약점

웹 애플리케이션의 소스 코드와 동작 방식 등에 존재하는 보안 취약점으로 웹 서비스 운영 또는 이용 시 발생할 수 있습니다.
Web Security Checker는 실제로 해커에 의해 가장 많이 이용되는 취약점과 공격이 성공할 경우 피해가 큰 취약점을 중점적으로 진단합니다.
현재는 XSS, SQL Injection, XXE, SSRF 등에 대한 진단이 가능하며, 진단 가능한 취약점은 계속해서 업데이트될 예정입니다. 진단 가능한 취약점에 대한 자세한 설명은 포털의 서비스 > Security > Web Security Checker 메뉴를 참조해 주십시오.

진단 방식

Web Security Checker의 진단은 다음과 같이 진행됩니다.

• 진단에 필요한 정보를 콘솔에서 입력하면 진단이 시작됩니다. 진단 대상 정보 입력 시 http://, https://를 포함하는 URL 형식으로 입력해야 합니다.
• 대상 웹 사이트 내 URL을 크롤링하여 점검 대상 URL을 빈틈없이 수집합니다.
• 수집된 URL을 대상으로 정교하게 구성한 HTTP 패킷을 전송하고 응답 값을 분석해 취약점을 탐지합니다.
• 탐지된 취약점에 대한 적절한 대응 방안을 제시합니다.
• 모든 과정을 100% 자동화로 진행하여 사람이 찾기 어려운 취약점까지 빠르고 세밀하게 찾아낼 수 있습니다.

진단 리포트

취약점 진단을 마치면 진단 결과를 집약한 리포트를 받을 수 있습니다. 리포트는 진단 대상, 진단 시간, 로그인 정보 등 진단 작업에 대한 정보와 취약점의 종류, 위험도, 개수 등을 포함합니다. 또한, 발견된 취약점들에 대한 상세 설명과 발견된 위치, 취약점 검증에 사용된 HTTP 패킷과 함께 상세 대응 방안도 기술되어 있습니다.
진단 리포트는 콘솔에 접속하여 확인할 수 있으며, 진단 작업 생성 시 알림을 설정해 두었다면 이메일 또는 휴대폰 SMS로 진단 리포트 생성 알림을 받을 수 있습니다.