Smart Security
웹취약점 점검 신청
교육부 정보보안 기본지침 제51조(서버 보안), 제93조(정보통신망 보안진단)와 관련해서 교육기관은 연 1회 보안도구를 이용하여 필수적으로 보안취약점 점검을 실시해야 합니다.
정보기획팀에서는 본교 도메인(kookmin.ac.kr)으로 운영중인 홈페이지의 보안사고 예방 및 보안수준 강화를 위하여 교육부 사이버안전센터(ECSC)의 홈페이지 취약점 점검시스템을 통해 점검을 진행하고 있습니다. 홈페이지 취약점 점검 진행을 희망하는 부서는 정보기획팀으로 신청하여 주시기 바랍니다.
신청대상
- 교내에서 kookmin.ac.kr 도메인으로 운영중인 홈페이지
신청방법
- 팀오피스를 이용하여 정보기획팀으로 ‘업무협조’ 제출
업무협조 작성 예시
- OoO 홈페이지의 웹보안 강화를 위하여 다음과 같이 웹취약점 점검을 신청하오니 협조하여 주시기 바랍니다.
- 홈페이지명: OoO 홈페이지
- 홈페이지 용도: OoO 연구실 소개 및 안내
- 홈페이지 주소: xxx.kookmin.ac.kr
- 홈페이지 관리자(담당자)
- 소속기관: 정보통신처 정보기획팀
- 성명: 홍길동
- 내선번호: 02-910-XXXX
- 이메일 주소(필수): aaa@kookmin.ac.kr
- 점검 일정은 협의 후 진행. 끝.
점검방법
- 분석가를 활용한 심층 분석 및 자동 점검 도구 활용(점검시 홈페이지 서비스 운영에 영향 없음)
점검항목
- 총 22개 취약점 점검
| 대분류 | 번호 | 점검 항목 |
|---|---|---|
| 입력 값 검증 부재 | 1 | Injection |
| 2 | 크로스 사이트 스크립트(XSS) | |
| 3 | 크로스 사이트 리퀘스트 변조(CSRF) | |
| 4 | 서버 사이드 리퀘스트 변조(SSRF) | |
| 5 | 검증되지 않은 리다이렉트 및 포워드 | |
| 6 | 파일 업로드 | |
| 취약한 접근 통제 | 7 | 관리자 페이지 노출 |
| 8 | 경로추적 및 파일 다운로드 | |
| 9 | 자동화 공격 | |
| 취약한 인증 | 10 | URL/파라미터 변조 |
| 11 | 불충분한 세션 관리 | |
| 12 | 쿠키 변조 | |
| 13 | 디폴트/취약한 계정사용 | |
| 민감한 데이터 노출 | 14 | 캐시 재사용 |
| 15 | 부적절한 에러메시지 노출 | |
| 16 | 소스코드 내 중요 정보 노출 | |
| 17 | 중요 정보 비 암호화 통신 | |
| 잘못된 보안 구성 | 18 | 디렉터리 인덱싱 |
| 19 | 불필요한 Method 지원 | |
| 20 | 취약한 파일 존재 | |
| 21 | 히든필드 조작 취약점 | |
| 22 | 알려진 취약점이 있는 구성요소 사용 |
점검결과
- 보고서 형태로 신청자 메일로 전달
문의처
- 정보기획팀 02-910-4275