웹플랫폼 구축
공공분야에 최적화된 솔루션과 노하우로 성공적인 사업 수행을 보장합니다.
웹취약점/웹보안
개인정보보호, DB보안, 키보드보안 등 다양한 보안솔루션을 공급하고
유지보수를 지원하며 다년간의 웹취약점 분석 노하우와
소프트웨어 보안진단
자격증을 보유한 전문적인 수행인력으로
고객님의 안전한 웹사이트 운영과
소중한 IT자산을 지켜 드립니다.
웹취약점 · 웹보안 기준안 및 점검항목 보기
국내 기준안 및 가이드
- 행정안전부
- 국내 공공기관 웹취약점 점검 28종 항목(주요정보통신기반시설 취약점 분석‧평가 기준)
- KISA (한국인터넷진흥원)
- 국내 IT인프라에 맞도록 정리한 시큐어코딩 가이드 수록
- 국내 공공기관 웹취약점 점검 21종 항목
- 국가 사이버 안전센터
- 국내 각 기관에서 홈페이지 해킹에 많이 악용되었던 ‘국정원 10대 웹보안 취약점’을 선정
Web Sever
IIS, Apache, Tomcat, Jeus, WebSphere, WebLogic
- 불필요한 파일 진단
- 부적절 에러 처리 진단
- 샘플 페이지 검색
- 디렉터리 인덱싱 기능 진단
- 디폴트 관리자 환경
- 취약한 환경설정
- 취약한 서버 버전 진단
- 불필요한 메소드 진단
Web Application
ASP, dotNet, PHP, JAVA&JSP
- 버퍼 오버플로우
- 디렉토리 인상
- 세션 예측
- 파일 업로드
- 포맷스트링
- 정보누출
- 불충분한 인가
- 파일 다운로드
- LDAP 인젝션
- 악성콘텐츠
- 불충분한 세션만료
- 관리자 페이지 노출
- 운영체제 명령실행
- 크로스 사이트 스크립링
- 세션고정
- 경로추적
- SQL인젝션
- 약한 문자열 강도
- 자동화공격
- 위치 공개
- SSI인젝션
- 불충분한 인증
- 프로세스 검증락
- 데이터 평문전송
- XPath 인젝션
- 취약한 패스워드 복구
- 크로스 사이트
리퀘스트 변조(CSRF) - 쿠키변조
※ 위는 행정안전부의 ‘주요정보통신기반시설 취약점 분석‧평가 기준’ 웹취약점 28종 점검 항목 기준임
국제 기준안 및 가이드
- OWASP Top10 (Open Web Application Security Project)
- 국제 웹 보안 표준기구로 정기적으로 웹 해킹 위협의 동향을 발표
- CWE/SANS 25
- SANS와 미국방성 산하 MITRE 그리고 그 외 미국 및 유럽의 여러 소프트웨어 보안 전문가에 의해 CWE/SANS 25 라는 이름으로 소프트웨어 개발자가 가장 범하기 쉬운 코드 취약점에 대해 발표. 740여 가지의 다양한 언어에 대한 취약점을 권고하고 관리하고 있음
- CERT SecureCoding
- 미국 국토안보부 산하 컴퓨터 긴급대응팀, 국가 사이버 경보 시스템, 취약 정보 등 제공
- CWE (Common Weakness Enumeration)
- 발견된 정적분석 취약점을 CWE-ID로 넘버링 포맷이 되어 있는 DB 수록.
서비스 진행절차
-
계획수립
- - 범위 및 일정조율
- - 세부사항 협의
- - 환경조사
-
현황분석
- - 환경분석
- - 시스템분석
- - 어플리케이션 분석
-
진단컨설팅
- - 분석보고서
- - 진단요약서
- - 관련자 교육
-
점검조치
- - 시큐어코딩 반영
- - 조치 테스트
- - 운영 가이드
웹취약점 · 웹보안 기대효과
- 기존에 구축된 소프트웨어 내부의 당면 보안 문제 해결
- 자체 개발 소프트웨어 또는 외주 개발 소프트웨어의 체계적 위험(Systemic Risk) 감소
- SW보안 자격증 소지한 전문인력의 취약점 분석수행으로 취약점 결과의 신뢰
- 시스템 안정성 및 유연성 확보, 체계적인 시스템 개발 및 운영 가능
- 소프트웨어 취약성을 파악하고 해결하는 데 소요되는 시간을 단축
- 보안 운영 관련 비용 절감
- 보안과 관련된 지연을 최소화함으로써 보안업무 효율성 증대
- 최신 국내/국제 SW보안 반영
