본문으로 바로가기 본문으로 바로가기 메뉴로 바로가기

웹플랫폼 구축

공공분야에 최적화된 솔루션과 노하우로 성공적인 사업 수행을 보장합니다.


웹취약점/웹보안

개인정보보호, DB보안, 키보드보안 등 다양한 보안솔루션을 공급하고
유지보수를 지원하며 다년간의 웹취약점 분석 노하우와 소프트웨어 보안진단
자격증을 보유한 전문적인 수행인력
으로 고객님의 안전한 웹사이트 운영과
소중한 IT자산을 지켜 드립니다.

웹취약점 · 웹보안
웹취약점 · 웹보안 기준안 및 점검항목 보기

국내 기준안 및 가이드

행정안전부
국내 공공기관 웹취약점 점검 28종 항목(주요정보통신기반시설 취약점 분석‧평가 기준)
KISA (한국인터넷진흥원)
국내 IT인프라에 맞도록 정리한 시큐어코딩 가이드 수록
국내 공공기관 웹취약점 점검 21종 항목
국가 사이버 안전센터
국내 각 기관에서 홈페이지 해킹에 많이 악용되었던 ‘국정원 10대 웹보안 취약점’을 선정

Web Sever

IIS, Apache, Tomcat, Jeus, WebSphere, WebLogic

  • 불필요한 파일 진단
  • 부적절 에러 처리 진단
  • 샘플 페이지 검색
  • 디렉터리 인덱싱 기능 진단
  • 디폴트 관리자 환경
  • 취약한 환경설정
  • 취약한 서버 버전 진단
  • 불필요한 메소드 진단

Web Application

ASP, dotNet, PHP, JAVA&JSP

  • 버퍼 오버플로우
  • 디렉토리 인상
  • 세션 예측
  • 파일 업로드
  • 포맷스트링
  • 정보누출
  • 불충분한 인가
  • 파일 다운로드
  • LDAP 인젝션
  • 악성콘텐츠
  • 불충분한 세션만료
  • 관리자 페이지 노출
  • 운영체제 명령실행
  • 크로스 사이트 스크립링
  • 세션고정
  • 경로추적
  • SQL인젝션
  • 약한 문자열 강도
  • 자동화공격
  • 위치 공개
  • SSI인젝션
  • 불충분한 인증
  • 프로세스 검증락
  • 데이터 평문전송
  • XPath 인젝션
  • 취약한 패스워드 복구
  • 크로스 사이트
    리퀘스트 변조(CSRF)
  • 쿠키변조

※ 위는 행정안전부의 ‘주요정보통신기반시설 취약점 분석‧평가 기준’ 웹취약점 28종 점검 항목 기준임


국제 기준안 및 가이드

OWASP Top10 (Open Web Application Security Project)
국제 웹 보안 표준기구로 정기적으로 웹 해킹 위협의 동향을 발표
CWE/SANS 25
SANS와 미국방성 산하 MITRE 그리고 그 외 미국 및 유럽의 여러 소프트웨어 보안 전문가에 의해 CWE/SANS 25 라는 이름으로 소프트웨어 개발자가 가장 범하기 쉬운 코드 취약점에 대해 발표. 740여 가지의 다양한 언어에 대한 취약점을 권고하고 관리하고 있음
CERT SecureCoding
미국 국토안보부 산하 컴퓨터 긴급대응팀, 국가 사이버 경보 시스템, 취약 정보 등 제공
CWE (Common Weakness Enumeration)
발견된 정적분석 취약점을 CWE-ID로 넘버링 포맷이 되어 있는 DB 수록.

서비스 진행절차

  1. 계획수립

    • - 범위 및 일정조율
    • - 세부사항 협의
    • - 환경조사
  2. 현황분석

    • - 환경분석
    • - 시스템분석
    • - 어플리케이션 분석
  3. 진단컨설팅

    • - 분석보고서
    • - 진단요약서
    • - 관련자 교육
  4. 점검조치

    • - 시큐어코딩 반영
    • - 조치 테스트
    • - 운영 가이드

웹취약점 · 웹보안 기대효과

  • 기존에 구축된 소프트웨어 내부의 당면 보안 문제 해결
  • 자체 개발 소프트웨어 또는 외주 개발 소프트웨어의 체계적 위험(Systemic Risk) 감소
  • SW보안 자격증 소지한 전문인력의 취약점 분석수행으로 취약점 결과의 신뢰
  • 시스템 안정성 및 유연성 확보, 체계적인 시스템 개발 및 운영 가능
  • 소프트웨어 취약성을 파악하고 해결하는 데 소요되는 시간을 단축
  • 보안 운영 관련 비용 절감
  • 보안과 관련된 지연을 최소화함으로써 보안업무 효율성 증대
  • 최신 국내/국제 SW보안 반영
카카오 채팅