솔루션
풍부한 기술력과 고객의 신뢰를 바탕으로 정보보보호 분야의 선두자가 되겠습니다.
WhiteHat Dynamic
차세대 웹 보안 취약점 분석 솔루션(DAST)
WhiteHat Dynamic은 SaaS(software-as-a-service) 기반의 DAST(dynamic application security testing) 솔루션입니다. WhiteHat DAST를 이용하면 확장 가능한 웹 보안 프로그램을 빠르게 도입할 수 있습니다. 웹페이지가 아무리 많아도, 또 아무리 자주 바뀌어도 WhiteHat Dynamic은 수요에 맞춰 얼마든지 확장이 가능합니다. 보안 개발팀은 QA와 프로덕션 중에 애플리케이션의 취약점 평가를, 해커들이 취약점을 찾는 것과 동일한 방법을 적용하여 신속, 정확하게 지속적으로 할 수 있습니다. 따라서 해커보다 먼저 취약점을 발견하여 수정할 수 있습니다.
주요기능
-
간편한 배포,
동시성, 확장성- 배포가 간편한 클라우드 기반의 동적 보안 테스팅
- 속도 저하 없이 1만개 이상 웹사이트를 동시에 온보딩하고 테스팅 가능
- 어떤 환경에도 적용 가능한 확장성을 제공하여 개발 속도에 맞춰 조절 가능
-
프로덕션 무해성
- 성능 저하 없이 프로덕션 웹사이트에 안전하게 적용 가능
- 실제 코드 대신 테스트용 Injection 사용으로 데이터 무결성 보장
- 스캔 내용을 커스텀 튜닝하여 성능 저하 없이 전체 커버 가능
-
연속 분석
- 연속 분석을 통해 웹사이트의 변경에 따라 상시 스캐닝
- 웹 애플리케이션에 대한 코드 변경을 자동으로 탐지, 분석하고 취약점이 새로 발견되면 경고
- 처음부터 테스팅하지 않고 취약점만 다시 테스팅하여 ‘상시’ 위험 분석 가능
-
인공지능과 머신러닝
- 머신러닝(ML)과 인공지능(AI), 전문가 취약성 분석을 결합하여 최고 수준의 정확도를 가진 동적 애플리케이션 보안 테스팅 결과 산출
- 오탐으로 인한 개발속도 저하 없이 웹 애플리케이션의 보안 검증 가능
요구사항에 가장 잘 맞는 WhiteHat 에디션을 선택하세요
-
WhiteHat PE
(프리미엄 에디션)- 엄격한 컴플라이언스 요구사항과 멀티스텝 형식의 웹 애플리케이션 비즈니스 고객에 적합
- SE 기능과 비즈니스 로직 분석 모두 포함
-
WhiteHat SE
(스탠다드 에디션)- 일반 웹사이트 비즈니스 고객에 적합
- BE기능 및 멀티스텝 형식과 로그인 테스팅 모두 포함
-
WhiteHat BE
(베이직 에디션)- 비즈니스 중요도가 낮은 일반 웹사이트용 기본 솔루션
- 자동 스캐닝과 취약점 검증 실시
- 위험도가 낮은 사이트에 적합
| 특징 | 설명 | PE | SE | BE |
|---|---|---|---|---|
| 지속 분석 | 웹사이트를 상시 스캐닝하여 웹 애플리케이션의 코드 변경을 자동으로 탐지합니다. | 해당 | 해당 | 해당 |
| 보안 취약점 검증 | 모든 보안 취약점은 보안전문가가 일일이 검증하고 AI로 보강하므로 오탐율이 사실상 제로입니다. | 해당 | 해당 | 해당 |
| 요청시 리테스팅 | 탐지된 취약점이 시정된 후 요청하면 사이트를 재시험하여 교정 여부를 검토할 수 있습니다. | 해당 | 해당 | 해당 |
| 프로덕션 무해성 | 프로덕션에 해가 없는 페이로드만 이용하므로 성능 저하가 없습니다. | 해당 | 해당 | 해당 |
| WhiteHat 보안 엔지니어 | 포털을 통해 보안 전문가를 제한 없이 직접 요청하여 시정 지침을 받을 수 있습니다. | 해당 | 해당 | 해당 |
| WhiteHat Security Index (WSI) | 하나의 점수로 웹사이트 보안성을 눈으로 즉시 확인할 수 있습니다. | 해당 | 해당 | 해당 |
| 내부 QA/스테이징 환경 테스팅 | 내부 프리프로덕션/스테이징 환경을 세부적으로 테스팅하여 프로덕션에 도달하기 전에 취약점을 잡아냅니다. | 해당 | 해당 | 해당 |
| 유연한 보고형식과 분석 및 동종 업계 비교 |
엔터프라이즈급 기업의 사업부서별 데이터 보고 및 분석을 유연한 형식으로 집계합니다. 따라서 전체 웹사이트의 보안 현황이 한눈에 들어오고 업계 평균과도 쉽게 비교 가능합니다. |
해당 | 해당 | 해당 |
| 싱글 페이지 애플리케이션 | 싱글 페이지 애플리케이션도 프로덕션에 지장이 없도록 자동으로 스캐닝합니다. | 해당 | 해당 | |
| 구성과 형식 교육 | 웹사이트 형식과 로그인 설정을 통해 사이트를 안전하게 스캔하도록 스캐너를 구성할 수 있습니다. | 해당 | 해당 | |
| 전체 설정 및 형식 관련 교육 | 다중요소 인증을 요구하는 사이트를 포함해 자동으로 인증을 마친 후 사이트를 스캐닝합니다 | 해당 | 해당 | |
| 비즈니스 로직 분석 | 애플리케이션 레이어에 대해 수동으로 침투 테스팅을 하여 스캐너만으로는 드러나지 않는 논리적 취약점을 검출합니다. | 해당 |
탐지 가능한 취약점
-
WASC Threat Classification 2.0
- 애플리케이션 구성 오류
- 디렉토리 인덱싱
- HTTP 응답 스머글링
- 부적절한 입력 취급
- 불충분한 트랜스포트 레이어 보호
- OS 커맨딩
- 원격 파일 포함
- 메일 명령 Injection
- 경로 조작
- 라우팅 우회
- SSL Injection
- 크로스 사이트 스크립팅
- 포맷 스트링 공격
- 부적절한 파일 시스템 권한
- 정보 유출
- 널 바이트 Injection
- 예측 가능한 리소스 위치
- 서버 설정오류
- URL 리디렉터 오용
- XPath Injection
-
OWASP Top 10
- A1- Injection
- A2 - 인증과 취약한 인증과 세션 관리
- A3 - 민감한 데이터 노출
- A4 - XML 외부 개체(XXE)
- A5 - 취약한 접근 통제
- A6 - 잘못된 보안 구성
- A7 - 크로스 사이트 스크립팅(XSS)
- A8 - 안전하지 않은 역직렬화
- A9 - 알려진 취약점이 있는 구성요소 사용 (DAST지원영역 외)
- A10 - 불충분한 로깅 및 모니터링 (DAST지원영역 외)
Gartner Magic Quadrant Application Security Testing 분야 6년 연속 Leader 선정(2017~2022)
