웹취약점진단/모의해킹

웹 취약점 진단 / 모의해킹 소개
(주)케이씨에이는 고객의 중요 정보자산을 보호하기 위하여 그 동안 쌓아온 KCA의 정보보안 컨설팅 노하우를 바탕으로 고객의 웹 정보시스템을 사전에 철저히 진단하고 평가하여 노출된 취약점에 대한 종합적인 대책 및 개선책을 제시하여 드립니다.
웹 취약점 진단 / 모의해킹 개요
운영 중인 웹 서비스에 대하여 비인가자의 관점에서 웹 취약점 진단 및 모의해킹을 수행하고, 발견된 취약점이 서비스 및 시스템에 미치는 영향을 파악하여 침해사고 예방과 웹 서비스의 안정성을 확보하는데 그 목적이 있습니다.
웹 취약점 진단기준
웹 취약점 진단기준은 OWASP top 10, 국가정보원 8대 취약점, 한국인터넷진흥원(KISA) 21개 취약점 항목을 기준으로 합니다.

웹 취약점 진단항목
OWASP, 국정원, KISA의 주요 취약점 항목에서 대상기업의 웹 환경에 적합한 최적의 진단항목을 선택하여 진단항목을 결정합니다.
취약점 주요 진단항목
No 항목 위험도
1 SQL Injection H
2 백업/임시 파일 존재 M
3 주석을 통한 정보 노출 M
4 파일 다운로드 취약점 H
5 웹 서버 버전정보 노출 L
6 부적절한 에러메시지 노출 M
7 소스코드 노출 M
8 디렉토리 인덱싱 M
9 APP 디폴트페이지 노출 M
10 WEB-INF 노출 취약점 L
11 중요정보 비 암호화 통신 M
12 LINK 인젝션 취약점 M
13 개인정보 비 암호화 저장 M
14 취약한 비밀번호 설정 M
15 개인정보 마스킹 여부 M
16 XSS 취약점 H
17 CSRF 취약점 H
18 CRLF Injection 취약점 M
19 URL 파라미터 조작 H
20 디폴트/취약한 계정사용 M
21 세션/쿠키 타임아웃 미설정 M
22 다중 세션 허용 취약점 M
23 쿠키 조작 취약점 M
24 사용자 인증 부재 M
25 관리자 페이지 노출 M
26 히든필드 조작 취약점 M
27 File include 취약점 H
28 파일 업로드 취약점 H
29 Command Injection 취약점 H
30 버퍼 오버플로우 취약점 M
31 ActiveX 취약점 M
32 불필요한 Method 지원 M
※ 모의해킹 시 활용될 취약점 항목은 과제 진행시 조정이 될 수 있습니다.
위험도 산정 기준
위험도 주요 내용
H (High) - 서버침투 및 시스템에 악영향, 타 사용자 권한획득 및 서비스에 큰 위험 초래하는 취약점
- 주요 서버정보 및 개인정보를 획득할 수 있는 취약점
M (Medium) - 시스템 및 사용자에게 직접 또는 간접적으로 피해의 가능성이 존재
- 잠재된 취약점을 악용할 가능성이 존재
L (Low) - 타인의 서비스 이용에 피해를 줄 수 있으나, 심각한 영향 없음
- 단순한 정보가 노출되고 있으나, 서비스 위험에 큰 위험을 주지 않음
취약점 진단 / 모의해킹 도구
No 내용 도구
1 정보수집 및 분석 Acunetix Web Vulnerability Scanner, IBM Security AppScan Standard 8.8, BackTrack, httprint, W3AF, JSky, Netsparker, Acunetix
2 SQL Injection BlackEyes, Havij, N3015M, SQL Brute, Absinthe, Pangolin
3 XSS 공격 XSS Inspector
4 파일 업로드 공격 BurpSuit, Paros, Jspwebshell
5 Directory Listing DirBuster
6 관리자 계정/패스워드 탈취 John The Ripper, OPH Crack, Brutus
7 쿠키, 세션값 변조 및 확인 Cookie Toolbar
8 네트워크 패킷 모니터링 wireshark
KCA 웹 취약점 진단 방법론
최적화된 4단계의 절차(18개 프로세스)에 따라 자동화된 웹 취약점 진단 툴과 전문인력의 수동진단, 모의해킹을 통해 웹 어플리케이션에서 발생할 수 있는 다양한 웹 취약점을 진단합니다.
취약점 진단 수행 프레임워크

취약점 진단 세부 수행절차

KCA 모의해킹 방법론
시나리오를 바탕으로 정보수집, 목록화, 취약점 탐지, 침입 시도, 권한획득의 절차로 모의해킹을 수행하며, 최신 해킹기법을 이용한 정보유출 가능성, 키로그 프로그램을 이용한 개인정보 유출 가능성 등을 점검합니다.

KCA 웹 취약점 진단 특징 및 기대효과