웹 응용 프로그램 침투 평가

웹 사이트의 취약성 검색

다음 단계:

Overview

국립표준기술원(NIST)에서는 오늘날 취약성 중 92%가 응용 프로그램 계층에 존재한다고 밝혔습니다. 당사의 경험에 따르면 고객 중 90%가 고객 데이터 공개나 전체 시스템 손상으로 이어질 수 있는 심각한 허점을 최소 하나 이상 지니고 있습니다. Foundstone 웹 응용 프로그램 침투 평가는 웹 사이트를 악성 해커의 관점에서 보고 보안 허점이 공격당하기 전에 이를 찾아냅니다.

Foundstone은 설립 초기부터 웹 응용 프로그램 침투 테스트 분야를 선도해 왔습니다. 당사는 "Hacking Exposed: Web Applications”을 발간하였고 최근에 발간된 서적인 “How to Break Web Software”로 업계의 선도적 위치를 계속해서 이어나가고 있습니다. 앞으로도 고객이 더욱 안전한 소프트웨어를 설계 및 구축할 수 있도록 지원하기 위해 더 광범위한 소프트웨어 보안 제품에 서비스를 통합할 것입니다.

당사는 웹 서버에서 SSL 구성과 암호화 강도를 테스트하는 도구인 SSLDigger, 세션 쿠키의 보안 강도를 테스트하는 도구인 CookieDigger, Google과 같은 검색 엔진이 온라인 프레즌스의 일부를 노출하는지 파악하는 도구인 SiteDigger를 포함하여 테스트의 특정 분야를 자동화하는 여러 가지 무료 도구도 제작하여 출시했습니다.

OWASP(Open Web Application Security Project)는 이 주제에 대한 실질적인 기준입니다. 현재 Foundstone은 테스트 기준에 대한 표준 작성을 포함한 여러 주요 프로젝트를 주도하고 있습니다.

주요 장점

  • 해커보다 먼저 운영 웹 사이트의 허점을 찾아냅니다
  • 응용 프로그램을 실제 사용하기 전에 보안 품질 보증을 수행합니다
  • 기업에 대한 잠재적 영향과 위험을 파악합니다
  • 정확도와 효율성을 위해 상세하고 잘 구축된 수동 테스트 방법론을 사용합니다
  • 테스트 기술, 문제 및 치료에 대한 지식을 전달합니다

Methodology

웹 응용 프로그램 스캐너와 같은 자동 테스트 도구의 현저한 한계를 잘 알고 있기 때문에 당사의 테스트 대부분은 잘 정의되고 반복 가능하며 일관성 있는 방법론을 사용하여 수동으로 검증됩니다. 당사는 정확하고 효과적인 것으로 입증된 평가 영역에만 자동 도구를 사용하며(일반적으로 전체 작업의 5% 미만) OWASP 연구 프로젝트를 후원하여 이러한 자동 도구의 성능을 벤치마크했습니다.

검색 — 기업과 협력하여 발견된 취약성이 기업에 미치는 영향을 정량화 및 정성화할 수 있도록 다양한 기능이 기업에 미치는 영향을 파악합니다.

평가 — 모든 핵심 영역을 테스트하고 일관성과 반복 가능성을 보장하기 위해 당사는 다음이 포함된 공통 보안 프레임을 사용합니다.

  • 인증
  • 권한 부여
  • 사용자 관리
  • 세션 관리
  • SQL 주입, 크로스 사이트 스크립팅, 명령 주입 및 클라이언트측 검증 등과 같은 모든 일반적인 공격을 포함한 데이터 검증
  • 오류 처리 및 예외 관리
  • 감사 및 로깅

보고서 및 제공물 — 계약 종료 시 결과에 우선순위와 이들이 기업에 미치는 영향에 대한 요약이 포함된 상세한 서면 보고서를 제공합니다. 개별 기술적 결과에는 모든 구체적 세부사항과 이의 완화를 위한 권장사항이 포함됩니다.