웹취약점 상세 스캔

h>보안·관제>웹취약점 상세 스캔

2013 보안관제 침해사고 TOP 5

서버호스팅 서버 상품안내
서비스 취약점 TOP5 침해사고 악용 TOP5 악성코드 유형 TOP5 웹취약점 TOP5
서비스취약점 TOP5
1 1. www(37%)
2 2. DNS(19%)
3 3. SMTP(17%)
4 4. FTP(Serv_U)(11%)
5 5. SSH/Remote Access(19%)
6 6. ETC(9%)
1 1. 좀비서버 악용(25%)
2 2. 타서버 스캔(23%)
3 3. 악성코드 배포지(19%)
4 4. 타서버 공격(15%)
5 5. 피싱/스팸(13%)
6 6. ETC(6%)
1 1. Webshell(29%)
2 2. Botshell(19%)
3 3. Scantools(17%)
4 4. Attack Tools(14%)
5 5. Rootkit(11%)
6 6. ETC(10%)
1 1. SQL Injecton(26%)
2 2. PHP Injecton(21%)
3 3. File Upload(18%)
4 4. Cross Site Scriting(16%)
5 5. Parameter Polution(13%)
6 6. ETC(6%)
웹취약점으로 인한 침해사고는 전체 침해사고에서 차지하는 비중이 가장높습니다.
아래와 같은 고객분들께서는 반드시 취약점 스캔을 하셔야합니다.
  • 홈페이지 소스에 악성소스가 삽입된 적이 있다.
  • 침해사고를 당한적이 있다.
  • 홈페이지를 개발하고 서비스런칭을 앞드고 취약성이 있는지 확인하고 싶다.
  • 웹취약점 스캔을 한번도 해본적이 없다.
  • 웹방화벽을 도입하기전 취약점을 알고싶다.
  • 웹방화벽을 도입한 후 해킹을 차단하는지 확인하고 싶다.

웹취약점 스캐너 Acunetix 소개

  1. 여러분의 웹사이트의 보안상태를 Acunetix Web Vulnerability Scanner로 점검하십시오.
    • 해커들은 여러분의 웹사이트를 공격하기 위해서 많은 노력을 집중하고 있습니다.
      사이버상의 공격중 75%는 주로 쇼핑카트, 입력폼, 로그인 페이지, 동적 내용물 등을이용하고 있습니다.
      여러분의 웹 애플리케이션은 언제든 접근가능하며, 고객의 상세정보, 신용카드번호, 개인신상정보 및 법인 자료등의 중요한 정보들을 다루고 있습니다.
  2. 방화벽, SSL과 Locked-down 서버같은 기존의 네트워크보안 기재들은 웹애플리케이션에 대한 해킹효과에 효과적
        으로 대응할 수 없습니다.
    • 네트워크 보안 레벨의 방어로는 항상 열려져 있어야만 하는 80포트상에서 가동되는 웹 애플리케이션에 대한 공격에 적절한 보호를 취할 수 없습니다.
      더불어, 웹 애플리케이션은 주로 요구사항에 따라 주문생산 되어지므로 기성 소프트웨어보다 상대적으로 부족한 TEST를 거치게 되고, 결과적으로 더 많은 취약점에 노출되게 됩니다.
      수작업을 이용한 웹사이트에 대한 취약점 분석은 실질적으로 불가능합니다.
      이러한 분석은 자동적이고 정규적으로 이루어져야만 합니다.
  3. 여러분의 웹사이트의 보안상태를 Acunetix Web Vulnerability Scanner로 점검하십시오.
    • 여러분의 웹사이트가 web에 대한 공격으로부터 안전한지 확인할 수 있습니다.
    • SQL injection & Cross site scripting에 대한 취약점을 자동적으로 검사합니다.
    • HTTP, HTML 형태의 인증 PAGE에 대한 비밀번호의 견고성을 검사합니다.
    • 자바스크립트 / AJAX 애플리케이션에 대한 취약점을 검사합니다.
    • 쇼핑 바구니, 작성 폼, 로그인 페이지, 동적인 웹 내용과 다른 웹 애플리케이션들에 대하여 자동적으로 검사합니다.
    • 웹사이트 보안검사에 대한 전문적인 보고서를 생성합니다.
특징
SQL injection과 Cross site scripting 및 기타 웹 취약점에 대한 분석을 자동적으로 탐지
SQL injection 은 데이터베이스에 저장되어 있는 데이터에 접근하기 위해 SQL 명령어를 변경시키는 해킹기법입니다. Cross site scripting공격은 해커로 하여금 방문자의 브라우저상에 있는 악의적인 스크립트를 실행할 수 있도록 합니다. Acunetix Web Vulnerability Scanner는 여러분의 웹 어플리케이션이 이러한 공격들에 대하여 취약점을 가지고 있다면 탐지해 낼수 있습니다.
SOther detected Web Vulnerabilities 기타 웹 취약점
- CRLF injection attacks
- Code execution attacks
- Directory traversal attacks
- File inclusion attacks
- Authentication attacks

구글 해킹 취약점 탐지
구글 해킹은 해커가 검색엔진에 질의문을 입력하여 해킹 가능한 목표와 민감한 자료를 찾아내 이를 이용하여 해킹을 시도하는 것을 일컫는 용어입니다.
구글 해킹 데이터베이스(GHDB)는 포탈 로그온 페이지,네트워크보안 정보를 포함한 로그등과 같은 민감한 자료를 식별할 수 있는 질의문을 포함하고 있습니다.
Acunetix WVS는 "검색엔진 해커"보다 먼저 존재하는 수많은 자료 중 민감한 자료 또는 공략 가능한 목표를 찾아내기 위해 여러분의 웹사이트에 대하여 구글 해킹database 질의문을 통한 검사를 수행합니다.
이러한 구글 해킹관련 특징은 업계 최초로 시도된 기능입니다.

HTTP 편집기 및 Sniffer를 이용한 확장된 공격에 대한 탐지
여러분은 HTTP 편집기를 이용하여 HTTP/HTTPS 요청을 구성할 수 있고 Web server의 응답을 분석할 수도 있습니다.
이러한 기능을 사용자의 SQL injection 과 cross site scripting 검사를 수행하는데 사용하십시오.
HTTP sniffer를 이용하면, 모든 HTTP/HTTPS traffic 상황에 대하여 기록을 남기고 내용을 살펴보거나 변경시킬 수 있습니다.
이러한 작업들은 여러분의 웹 어플리케이션이 보내는 내용들에 대한 깊이 있는 통찰력을 제공합니다.

HTTP fuzzer - 규칙에 의하여 생성된, 자동화된 변수 TEST
HTTP fuzzer 는 여러분이 buffer overflows 와 input validation에 대한 자동적인 TEST를 위한, 변수생성에 적용할 수 있는 규칙을 만들 수 있도록 합니다.
예를 들면, HTTP fuzzer를 이용하면 URL(e.g. http://test.acunetix.com/listproducts.php?cat=1) 가운데 변수 부분을 1에서 999까지 대체할 수 있는 규칙을 생성할 수 있습니다. 이 방식을 통하여 1000개의 질의문을 실행 할 수 있으며, 의미있는 결과를 확인만 하면 됩니다.
결과적으로 수작업을 통한 TEST에 비하여 많은 시간을 절약할 수 있습니다.

Javascript / AJAX application 안전성 검사
버전 4에서는 AJAX applications 에 대한 취약점 검사를추가하였습니다.
AJAX applications 은 웹 어플리케이션의 확장된 사용에 대한 많은 가능성을 제공하지만 좀 더 강력한 보안검사를 필요로 합니다.
Acunetix WVS 4는 귀사의 AJAX applications이 안전하게 유지될 수 있도록 업계에서 가장 진보된 JavaScript 분석기를 포함하고 있습니다.

비밀번호 입력영역에 대한 검사
Acunetix Web Vulnerability Scanner는 사용자 인증이 필요한 웹사이트의 보호된 영역에 대하여 매크로 기능과 비슷한, Login sequence tool을 이용하여 Scanner가 시도해 보아야 할 경로를 검사할 수 있습니다

자동 HTML form filter
HTML form filler 는 web scanner가 HTML FORM을 검사하게 된 경우 여러분이 원하는 다양한 입력값들을 구성할 수 있도록 합니다.
이는 여러분의 웹사이트가 여러 다른 입력값에 대하여 어떻게 반응하는지 자동적으로 검사할 수 있도록 합니다.

기타 특징
- 로그인 페이지의 암호에 대한 취약성을 사전식 공격을 통하여 검사합니다.
- Report 생성기 : 탐지된 웹 취약점에 대하여 기술하며 이러한 취약점을 어떻게 해결할 수 있는지 제안합니다.
- 취약성 편집기를 통해 웹 공격과 탐지기법을 생성하거나 기존의 기법들을 수정합니다.
- ASP, ASP.NET, PHP 그리고 CGI를 포함한 모든 주요 웹 기술들을 지원합니다.
- 여러 가지 스캔 옵션과 스캔 프로파일을 이용하여 웹사이트를 검사합니다.
- 이전 검사내용과 비교하여 다른 점을 찾아내고, 새로운 취약성을 찾아냅니다.
- 웹사이트의 변경사항에 대하여 쉽게 재검사 할 수 있습니다.
- 플래쉬 파일들을 분석합니다.
- 일상적인 에러페이지를 자동으로 찾아냅니다.
- 권한문제가 있는 디렉터리를 찾아냅니다.
- 웹 서버에 대해 위험한 HTTP method들의 사용여부 (e.g PUT, TRACE, DELETE)를 확인하고 취약한 제품에 대한 버전
  정보를 제공합니다.

OWASP 10대 취약점 자세히보기

  1. 크로스사이트 스크립팅(XSS)
    • XSS 취약점은 콘텐츠를 암호화나 검증하는 절차 없이 사용자가 제공하는 데이터를 어플리케이션에서 받아들이거나,
      웹 브라우저로 보낼 때마다 발생한다.
    • XSS 는 공격자가 희생자의 브라우저 내에서 스크립트를 실행하게 허용함으로써 사용자 세션을 가로채거나,
      웹 사이트를 손상하거나 웜을 심는 것등을 가능하게 할 수 있다.
  2. 인젝션 취약점
    • 인젝션 취약점, 특히 SQL인젝션 취약점은 웹 애플리케이션에서 매우 흔하다.
    • 인젝션은 사용자가 입력한 데이터나 명령어나 질의문의 일부분으로 인터프리터에 보내질 때 발생한다.
    • 악의적인 공격자가 삽입한 데이터에 대해 인터프리터는 의도하지 않은 명령어를 실행하거나 데이터를 변경할 수 있다.
  3. 악성 파일 실행
    • 원격 파일 인젝션(RFI) 에 취약한 코드는 공격자가 악의적인 코드와 데이터의 삽입을 허용함으로써 전체 서버 훼손과
      같은 파괴적인 공격을 가할 수 있다.
    • 악성 파일 실행 공격은 PHP, XML,그리고 사용자로부터 파일명이나 파일을 받아들이는 프레임워크에 영향을 준다.
  4. 불안전한 직접 객체 참조
    • 직접 객체 참조는 개발자가 파일, 디렉토리, 데이터베이스 기록 혹은 키 같은 내부 구현 객체에 대한 참조를
      URL 혹은 폼 매개변수로 노출시킬 때 발생한다.
    • 공격자는 이러한 참조를 조작하여 승인없이 다른 객체에 접속 할 수 있다.
  5. 크로스 사이트 요청 변조 (CSRF)
    • CSRF 공격은 로그온 한 희생자의 브라우저가 사전 승인된 요청을 취약한 웹 애플리케이션에 보내도록 함으로써
      희생자의 브라우저가 공격자에게 이득이 되는 악의적인 행동을 수행하도록 한다
    • CSRF 는 자신이 공격하는 웹 애플리케이션이 강력하면 할수록 강력해진다.
  6. 정보 유출 및 부적절한 오류 처리
    • 애플리케이션은 다양한 애플리케이션 문제점을 통해 의도하지 않게 자신의 구성 정보, 내부 작업에 대한 정보를
      누출하거나 또는 개인정보 보호를 위반 할 수 있다.
    • 공격자는 이러한 약점을 사용해서 민감한 정보를 훔치거나 보다 심각한 공격을 감행한다.
  7. 취약한 인증 및 세션 관리
    • 자격 증명과 세션 토큰은 종종 적절히 보호되지 못한다.
    • 공격자는 약하게 보호된 데이터를 이용하여 신원 도용이나 신용카드 사기와 같은 범죄를 저지른다.
  8. 불안전한 암호화 저장
    • 웹 애플리케이션은 데이터와 자격 증명을 보호하기 위한 암호화 기능을 거의 사용하지 않는다.
    • 악성 파일 실행 공격은 PHP, XML,그리고 사용자로부터 파일명이나 파일을 받아들이는 프레임워크에 영향을 준다.
  9. 불안전한 통화
    • 애플리케이션은 민감한 통신을 보호할 필요가 있을 때
    • 네트워크 트래픽을 암호화하는데 종종 실패한다.
  10. URL 접속 제한 실패
    • 애플리케이션이 권한없는 사용자에게 연결 주소나 URL 이 표시되지 않도록 함으로써, 민감한 기능들을 보호한다.
    • 공격자는 이러한 약점을 이용하여 이 URL 에 직접 접속함으로써 승인되지 않은 동작을 수행한다.
    • 삽입 취약점은 웹 애플리케이션이 자체 로직을 이용해 외부의 모듈을 호출하는 것이다.

    라인

    웹취약점 점검 1회 100,000원

    시큐리티마스터 서비스신청 버튼



quicklink

top

top