Web Security Checker 소개

Web Security Checker와 웹 취약점에 대한 설명

Web Security Checker는 고객의 웹 서비스를 대상으로 자동으로 취약점을 진단하는 서비스입니다.

서비스 이용 추천 고객

Web Security Checker 서비스는 이런 고객 분들께 추천드립니다.

1) 고가의 웹 취약점 진단 도구나 보안 컨설팅 비용이 부담스러운 고객

웹 서비스의 취약점을 진단하기 위한 별도의 소프트웨어 구매 및 갱신, 모의해킹이나 컨설팅과 같은 웹 취약점 진단 업무 의뢰, 전문 보안 인력 채용 등 서비스 보안을 위해 투자되는 비용들을 대폭 절감할 수 있습니다.

2) 취약점 진단이 급하게 필요한 고객

침해 정황이 발견되었거나 서비스 오픈을 위해 빠르게 웹 취약점 진단이 필요할 경우 효과적으로 이용할 수 있습니다.

3) 보안 인증이나 법률에서 요구하는 취약점 진단을 손쉽게 진행하고자 하는 고객

보안 인증 획득, 개인 정보의 저장/전송/취급, 전자 금융 거래 등 다양한 사업적 니즈에 따라 준수되어야 하는 법률적 요건들을 Web Security Checker 서비스를 통해 빠르고 쉽게 만족시킬 수 있습니다.

4) 운영 중인 서비스에 대해 취약점 진단을 수행하고 싶으나, 보안 담당자가 없는 고객

100% 자동으로 진단되어 대응 방안까지 제시되기 때문에 전문 보안 담당자가 아니더라도 웹 취약점 진단이 가능합니다.

5) 잠재적 취약점을 사전에 찾아내어 조치함으로써 서비스 보안성을 확보하고 싶은 고객

개발된 웹 페이지의 취약점을 진단하여 사전에 조치할 수 있고 이를 통해 보안성이 높고 안정적인 서비스를 고객에게 제공할 수 있습니다.

웹 취약점에 대해

웹 취약점 정의

'웹 취약점'이란 웹 서비스를 운영 혹은 이용할 때 발생될 수 있는 웹 애플리케이션의 소스 코드와 동작 방식 등에 존재하는 보안상 약점을 말합니다.

진단 가능한 취약점

Web Security Checker는 실제로 해커에 의해 가장 많이 이용되는 취약점과 공격이 성공할 경우 피해가 큰 취약점을 중점적으로 진단합니다.

현재는 XSS, SQL Injection, XXE, SSRF 등 주요 웹 취약점에 대한 진단이 가능하며, 진단 가능한 취약점은 계속해서 업데이트될 예정입니다.

진단 가능한 취약점 상세 설명 : https://www.ncloud.com/product/security/webSecurityChecker

서비스 구조와 취약점 진단 방식

서비스 구조

Web Security Checker 서비스는 진단에 필요한 정보를 콘솔로부터 입력받아 진단을 시작합니다. 진단 대상 정보 입력 시 http://, https://를 포함하는 URL 형식으로 입력해야 하며, 도메인 또는 공인 IP가 할당된 네이버 클라우드 플랫폼에서 서비스하고 있는 웹사이트만 진단이 가능합니다.

진단 방식

Web Security Checker 서비스는 고객의 웹 서비스에 취약점이 존재하는지 검증하기 위해 다양한 HTTP 패킷을 고객의 웹 서버로 전송하고, 그 응답 값을 면밀히 분석하여 취약 여부를 판단합니다.

진단은 다음과 같이 진행됩니다.

1) 빈틈없는 진단을 수행하기 위해 고객 웹 사이트 내 url들을 크롤링 하여 점검 대상 URL을 수집합니다. 2) 수집된 URL들을 대상으로 취약점 존재 여부를 파악하기 위해 정교하게 구성한 HTTP 패킷을 전송하고 응답 값을 분석해 취약점을 탐지합니다. 3) 탐지된 취약점에 대해 고객에게 적합한 대응 방안을 제시합니다.

모든 과정은 100% 자동화로 진행되어 사람이 찾기 어려운 부분까지 빠르고 빠짐없이 취약점을 찾아낼 수 있습니다.

진단 결과 확인 및 취약점 대응

Web Security Checker는 취약점 진단 결과 리포트를 제공합니다. 리포트에는 진단 대상, 진단 시간, 로그인 정보 등 진단 작업에 대한 정보와 함께 발견된 취약점의 종류, 위험도, 개수 등을 포함하고 있습니다. 또한, 발견된 취약점들에 대한 상세 설명과 발견된 위치, 취약점 검증에 사용된 HTTP 패킷과 함께 상세 대응 방안도 기술되어 있습니다.

진단 완료 알림 받기

진단 완료 시 설정한 통보 방식에 따라 E-mail과 휴대폰 SMS로 즉시 통보받을 수 있으며 웹 취약점 진단 결과 리포트도 바로 확인이 가능합니다.

발견된 취약점 대응

Web Security Checker 진단 완료 시 리포트를 제공합니다. 리포트에는 발견된 취약점에 대한 내용뿐만 아니라 대응 방안도 함께 포함되어 있어, 취약점 대응 시 참고 자료로 활용할 수 있습니다.

취약점 재진단하기

최초 진단한 후 60일 내 동일한 대상을 추가로 2회까지는 무료로 재진단을 할 수 있습니다. 앞서 발견된 취약점을 조치한 후에 “재진단 기능”을 활용한다면 보다 쉽게 취약점 조치 여부를 확인할 수 있습니다.

오탐과 미탐 가능성

Web Security Checker는 다년간 쌓은 기술적 노하우를 통해 잠재적 취약점까지 찾아내는 방식으로 설계/구현하여 탐지율을 최대한 높였습니다. 또한 자동 진단 툴이라는 특성상 오탐과 미탐의 가능성이 존재하나 다양한 검증 기술을 적용하여 이를 최소화하였습니다.

고객 주의사항

1) 수집/진단 중 스크립트가 실행되어 파일, 테스트 값이 생성되거나 데이터가 변경 또는 삭제될 수 있습니다.

Web Security Checker는 페이지 수집 능력을 극대화하기 위해 동적으로 페이지를 방문하는 과정에서 스스로 버튼 또는 링크를 클릭하여 특정 기능이 실행될 수 있습니다. 이런 이유로 의도하지 않은 데이터의 변경, 삭제, 테스트 데이터 입력이 일부 발생할 수도 있습니다. 단, 이러한 행위가 발생하지 않도록 최대한 안전하게 설계되었음에도 개발된 코드에 따라서 불가피하게 행해지는 경우도 있습니다.

2) 관리자에게 임의 메일이 발송될 수 있습니다.

웹 서비스에서 관리자에게 메일을 발송하는 기능이 구현되어 있는 경우, 테스트 값이 삽입된 메일이 발송될 수 있습니다.

3) 진단하는 동안 트래픽이 증가할 수 있습니다.

자체 개발한 진단 알고리즘을 통해 취약점 진단 시 트래픽 발생을 최소화하였으나, 취약점 진단 솔루션 특성상 어느 정도 트래픽이 발생할 수 있습니다.

4) 사이트의 응답 속도가 지연될 수 있습니다.

Web Security Checker는 웹 취약점을 명확히 진단하기 위해 많은 HTTP 패킷을 웹 서버로 전송하고 있습니다. 이때 사이트의 응답 속도가 느려지는 것을 막기 위해 각종 안전장치 추가와 최적의 진단 알고리즘을 적용해 요청을 최소화하였습니다. 실제로 비슷한 동작을 하는 S/W에 비해 훨씬 더 안전하고 적은 트래픽을 발생시키고 있습니다. 그럼에도 불구하고 구현된 코드에 따라 일부 사이트의 경우 응답 속도가 지연될 수 있습니다. 특히 SQL 관련 취약점이 존재할 경우 잘못된 코딩으로 인한 지연 현상이 발생할 수도 있습니다.

좀 더 안전하게 진단하기 위한 팁

1) 테스트 환경을 이용하세요.

Web Security Checker는 비교적 안전하게 작동하도록 설계되어 있습니다. 그럼에도 불구하고 웹 취약점을 잘 찾기 위해 일부 의도치 않은 동작이 발생할 수 있어 주의가 필요합니다.

이러한 상황을 대비하여 알파, 베타, 개발 서버 등 리얼 서버가 아닌 테스트 환경을 이용하시면 좀 더 안전하게 진단 서비스를 받으실 수 있습니다.

2) 백업과 모니터링을 이용하세요.

위에서 설명드린 테스트 환경을 이용하는 것과 더불어 진단 전 서비스 백업과 모니터링을 활용한다면 만에 하나 발생할 수 있는 위험을 최소화하여 좀 더 안전하게 진단을 받을 수 있습니다.

※ 네이버 클라우드 플랫폼 Monitoring 상품이 무료로 제공되고 있습니다. 이를 활용하신다면 좀 더 안전하게 서비스를 이용할 수 있습니다.

Monitoring 상품 링크 : https://www.ncloud.com/product/management/monitoring

3) 제외 URL을 활용하세요.

‘제외 대상 정보 입력’ 기능을 통해 진단에서 제외하고자 하는 URL을 입력할 수 있습니다. 웹 서비스에 큰 영향을 줄 수 있는 페이지나 수집/진단 과정에서 페이지 내 스크립트 실행 차단이 필요한 페이지를 사전에 입력하여 진단 대상에서 제외해 주세요.

4) 로그인 필요 시 계정에 적절한 권한만 부여해 주세요.

관리자 또는 개발자 계정과 같은 권한의 경우 의도치 않은 동작 발생 시 일반 계정에 비해 위험 부담이 커질 수 있습니다.

Cookie 또는 ID, PW 입력을 통해 로그인 정보를 입력할 경우 해당 계정의 권한에 적절한 권한만 부여되었는지 확인이 필요합니다.

5) 예약 기능을 이용해 고객 이용이 적은 시간에 진단하세요.

서비스를 정식으로 제공 중인 경우 안전한 진단이 필수이므로, 이용자가 많은 시간보다는 이용자가 적은 새벽 시간에 진단하는 것을 권장합니다.

서비스 이용 방법

이용 순서

Web Security Checker 서비스 이용 시 아래와 같은 순서로 진행됩니다.

step

웹 사이트 진단 따라 하기

Step 1. 로그인 후 콘솔 접속

① 네이버 클라우드 플랫폼 포탈 ( https://www.ncloud.com )에 접속하여 로그인 후 우측 상단의 [Console] 버튼을 클릭하여 접속합니다.

Step 2. Web Security Checker 상품 이용 시작

① 좌측 상단의 "All Products"를 클릭합니다.

② "All Products" 메뉴에서 Security 하위에 있는 "Web Security Checker"를 클릭합니다.

③ [스캔작업 생성] 버튼을 클릭합니다.

Step 3. 서비스 이용약관 동의

① 서비스 이용 약관을 읽고 나서 동의할 경우 체크박스에 체크합니다.

② [확인] 버튼을 클릭하여 본격적으로 이용 신청을 진행합니다. (이용약관 동의창은 동의 후에는 나타나지 않습니다.)

Step 4. 대상 정보 입력

① http://, https://를 포함한 진단할 대상 URL을 입력합니다. ※ 네이버 클라우드 플랫폼 내에 본인이 생성한 웹 서버만 진단할 수 있습니다.

② 진단에서 제외할 URL 정보를 입력합니다. [추가] 버튼을 클릭하여 다수의 제외 URL 입력도 가능합니다.

Step 5. 로그인 정보 입력

Cookie를 이용한 로그인 정보 입력

① 진단 시 로그인 기능을 사용하려면 Cookie 또는 ID, PW 입력 방식을 선택하고, 사용하지 않을 경우 “로그인 기능 없음”을 클릭합니다.

② Cookie 입력의 경우 직접 서버에 로그인한 후 Cookie 값을 Cookie 입력 폼에 입력합니다.

③ 진단은 즉시 진단과 예약 진단으로 나뉘며 예약이 필요한 경우 날짜와 시간을 정해서 진행할 수 있습니다.

④ 진단 시 진단할 취약점 항목들을 설정할 수 있습니다. 진단을 원하지 않는 취약점의 경우 체크 해제하시면 됩니다.

ID/PW를 이용한 로그인 정보 입력

① 로그인 정보 입력 시 ID/PW로 입력을 원할 경우 “ID, PW 입력” 라디오 버튼을 클릭합니다.

② 로그인 시 사용되는 Method를 선택합니다. (GET 또는 POST)

③ 로그인에 사용되는 Action URL을 입력합니다. (Form 이 아닌 실제 Server Side로 처리하는 URL)

④ ID에 해당하는 파라미터 이름을 입력합니다.

⑤ PW에 해당하는 파라미터 이름을 입력합니다.

⑥ ID를 입력합니다.

⑦ PW를 입력합니다.

⑧ [CHECK] 버튼을 눌러 로그인 후 설정된 Cookie 정보를 받아옵니다.

Step 6. 예약 및 세부 설정

① 즉시 진단이 아닌 예약 진단을 원할 경우 “예약” 라디오 버튼을 클릭합니다.

② 날짜를 선택하기 위해 달력 모양을 클릭합니다.

③ 진단할 날짜를 선택합니다.

④ 진단할 시간을 선택합니다.

Step 7. 추가 세부 설정

① 진단 시 사용할 User- Agent를 선택합니다. 진단하고자 하는 환경에 맞게 PC, Android, iPhone 등 User Agent 중 하나를 선택합니다.

② 진단 속도를 설정합니다. (진단 속도가 빠를수록 진단 시간은 단축될 수 있으나, 웹 서비스에 부하가 비교적 높아질 수 있습니다.)

③ 진단 완료 시 알림을 받고 싶은 경우 “통보대상 설정하기”를 클릭하여 진행할 수 있습니다.

④ 진단 이력 관리 페이지에서 표시될 해당 진단 작업에 대한 메모를 자유롭게 남길 수 있습니다.

통보대상 설정하기

① 통보대상자를 추가하고 싶을 때 클릭하면 통보대상관리 페이지로 이동됩니다.

② 지정할 대상자가 포함되어 있는 통보대상자 그룹을 선택합니다.

③ 추가할 대상자를 선택합니다.

④ 대상자를 추가할 때 [추가] 버튼을 클릭합니다.

⑤ 대상자를 삭제할 때 [삭제] 버튼을 클릭합니다.

⑥ 설정이 완료되었으면 [설정 저장] 버튼을 클릭합니다.

Step 8. 설정 내용 최종 확인 및 진행 방식 선택

① 설정한 내용으로 진단 작업을 생성합니다. 진단 작업이 생성되면 지정한 일정(즉시 또는 예약)에 따라 작업이 진행됩니다.

② 설정 페이지로 돌아가고자 할 때 클릭합니다.

Step 9. 작업 진행 상황 확인

① 진단 시작 시간입니다. 예약 진단일 경우 진단이 시작될 시간입니다.

② 진단이 완료된 시간입니다.

③ 현재 진단 상태입니다.

④ 웹 사이트로부터 수집되어 진단할 URL 개수입니다.

⑤ 발견된 취약점 개수입니다.

Step 10. 작업 중지

① “URL 수집중”, “진단 진행중” 상태에서 작업 중지를 원할 경우 [중지] 버튼을 클릭합니다.

② 정말 중지를 원할 경우 [네]를 클릭합니다.

Step 11. 예약 취소

① “진단 예약” 상태에서 취소를 원할 경우 [취소] 버튼을 클릭합니다.

② 정말 취소를 원할 경우 [네]를 클릭합니다.

Step 12. 취약점 진단 결과 리포트 확인

① 진단 완료 시 활성화되는 [리포트] 버튼을 클릭합니다.

② 브라우저에서 바로 열람이 가능하며 PDF 파일로 다운로드를 원할 경우 클릭합니다.

Step 13. 취약점 조치 후 재진단 수행

① [재진단 작업생성] 버튼을 클릭합니다. (최초 진단한 후 60일 내 동일한 대상을 추가로 2회까지 무료 재진단 가능)

② 최초 진단 시 입력한 “대상 정보”는 수정할 수 없습니다.

③ 최초 진단 시 “로그인 정보”를 입력하였다면 해당 세션이 만료되었을 수 있으니 다시 입력하기 바랍니다.

④ 진단 항목은 변경 가능합니다.

⑤ 설정한 내용으로 재진단 작업을 생성합니다.

연관 정보 바로가기

본 상품은 글로벌 리전 서비스로도 제공됩니다.

""에 대한 건이 검색되었습니다.

    ""에 대한 검색 결과가 없습니다.

    처리중...