English | Join | Login | Contact us
웹 애플리케이션 보안성 점검
개요

웹 애플리케이션의 구현 방식, 개발 언어 사용 플랫폼 등을 고려하여 다양한 항목에 대한 점검을 실시하여 고객의 비즈니스의 안전을 위협하는 요인에 대한 대책이 적절하게 이루어지고 있는지를 점검합니다. 웹 브라우저를 사용하는 일반적인 웹 애플리케이션뿐만 아니라 SOAP를 이용한 Web 서비스에 대한 점검도 할 수 있습니다. 주요 부분은 경험이 풍부한 전문가가 직접(수동) 점검을 실시하며, 일부 점검 도구를 보조적으로 이용합니다. 이를 통해 귀사에 독자적으로 제작한 응용 프로그램에도 잠재적인 보안 문제 대부분을 발견 할 수 있습니다.
또한 발견된 문제에 대해 구체적인 대책 방법을 조언하고 적절한 대책의 실시를 지원합니다.

[주요 점검항목]

사용자 인증 방법 확인
사용자 인증을 우회하여 로그인 할 위험이 없는지, 로그인 ID와 암호를 추측 · 무차별 대입 공격에 강도가 충분한 지 등을 점검합니다.

세션 관리 방식 확인
세션 하이재킹 위험이 있는 지, Cookie 설정이 적절한 지 등을 점검합니다.

트랜잭션 처리 확인
무단으로 기능이 악용될 위험성이 없거나 잘못된 실행 순서 및 입력 값에 의해 시스템이 악용 될 위험이 없는지 등을 점검합니다.

크로스 사이트 스크립팅(XSS) 공격, SQL 인젝션 공격 대응책 확인
입력 데이터 유효성을 제대로 검사되었는지 데이터베이스에서 잘못된 연산이 수행 될 위험이 없는지 등을 점검합니다.

암호화 방식 점검
중요한 정보가 암호화되어 전송되는 지, 암호 알고리즘 강도가 충분한 지 등을 점검합니다.

사용자 측 보안성 점검
피싱에 의한 피해를 받지 않도록 설계되었는 지, 사용자가 안심하고 사이트를 이용할 수 있도록 설계 되어 있는지 등을 점검합니다.

XML 처리 관련 보안 문제에 대한 대책 점검
SOAP을 이용한 Web 서비스 등 XML을 다루는 응용 프로그램에 대한 점검의 경우에는 XML 처리 관련 보안 문제에 대한 대책이 적절하게 이루어지고 있는지를 점검 합니다.

[점검 도구 및 절차]

 0) 점검 플랫폼 : 리눅스 및 윈도
 1) 스캐닝 : ReconNG / Nmap(NSE) / Nikto 등
 2) 공격/익스플로잇 : OWASP ZAP 프록시 / 메타스플로잇 등
 3) 해킹 세션 : 미터프리터
 4) 서버 접근(** 옵션) : 패스더해쉬 등
[서비스 이용 절차]

 1) 고객사는 먼저 점검대상 IP주소(URL)와 요구사항(RFP)를 itl@itlkorea.kr로 전달
 2) 점검범위/시험규칙/일정에 대해서 협의
 3) 계약서 작성
 4) 점검 진행(1주 1회 또는 2주 1회 보고 / 최종 보고)

[가격]

일반적인 인증기능이 있고 20 ~ 50 페이지의 경우, 1,000만원입니다(10% 부가세 별도).

*** 고객 요구사항 또는 예산에 따라 점검 범위가 달라질 수 있습니다. 먼저 점검 대상 URL 주소(또는 IP주소) 및 요구사항(RFP)를 itl@itlkorea.kr로 알려 주시고 무료 견적을 받아보시기 바랍니다.
 추가적인 사항은 전화: 031-717-1447 또는 이메일: itl@itlkorea.kr로 문의해 주시기 바랍니다.
공유하기
최근 트위터 @ITLKorea
사이버보안 표준자료
CWE/SANS 가장 위험한 25大 소프트웨어 오류
효과적인 사이버 방어를 위한 20개 핵심 통제항목
자동차ISAC 사이버보안 모범사례
NICE 프레임워크
포켓 참고가이드
벤더
스폰서쉽
파트너쉽
연락처
전화 : 031)717-1447
월 - 금 : 09:30AM - 17:30PM
이메일 : itl@itlkorea.kr
채용정보>>
공인강사지원>>
| 개인정보 취급 방침 | 통신판매업신고번호 : 제2010-경기성남-0367호 | ⓒ2011 - 2017 ITL Secure Institute, All Rights Reserved.
본 사이트에 게재되어 있는 회사명, 단체명, 제품명은 각 회사 및 단체의 등록상표입니다.