Security
Wink 보안 개요 문서
섹션 제목: “Wink 보안 개요 문서”최종 업데이트: 2024년 9월 7일
버전 1.0
목적 및 범위
섹션 제목: “목적 및 범위”보안 및 사용자 데이터 보호에 대한 지속적인 노력의 일환으로, 저희는 웹 애플리케이션에 대한 정기적인 침투 테스트를 실시하고 있습니다. 본 문서에서는 테스트 방법론을 간략하게 설명하고, 테스트 결과를 요약하며, 지속적인 보안 개선을 위한 저희의 접근 방식을 소개합니다.
이 문서는 새로운 보고서가 작성되거나 중요한 변경 사항이 발생할 때마다 업데이트됩니다.
범위 내 도메인:
*.윙크.여행
*.trippay.io
테스트 빈도 및 일정
섹션 제목: “테스트 빈도 및 일정”침투 테스트는 매년 실시되며, 애플리케이션이나 인프라의 주요 업데이트 후에는 필요에 따라 추가 테스트를 실시합니다. 이러한 정기적인 테스트 주기를 통해 진화하는 위협에 앞서 나가고 안전한 환경을 유지할 수 있습니다.
테스트 방법론
섹션 제목: “테스트 방법론”당사의 침투 테스트는 포괄적이며 다음을 포함하되 이에 국한되지 않는 광범위한 보안 측면을 포괄합니다.
- OWASP 상위 10개:우리의 테스트는 주입, 인증 오류, 사이트 간 스크립팅(XSS)과 같은 가장 심각한 보안 위험을 특별히 대상으로 합니다.
- 블랙박스 및 그레이박스 테스트:우리 팀은 범위에 따라 이러한 방법론을 활용하여 외부 및 내부 공격 시나리오를 시뮬레이션합니다.
- 자동 및 수동 테스트:저희는 업계 최고의 보안 테스트 툴셋인 Burp Suite Pro를 사용하여 자동화된 보안 검사를 수행하고, 수동 테스트 기법을 활용하여 복잡한 취약점을 식별하고 최대한의 커버리지를 확보합니다. 더욱 구체적인 취약점 식별을 위해 SQLmap과 같은 특수 도구를 사용합니다.
조사 결과 요약
섹션 제목: “조사 결과 요약”다음은 최근 침투 테스트 보고서에 대한 간략한 요약입니다.
- 식별된 총 취약점:2
- 심각도 분포:
- 중요: 2
- 탐지된 취약점 유형:
- 손상된 액세스 제어
- 안전하지 않은 설계
자세한 내용은 전체 보고서를 참조하세요.
위험 등급 및 영향
섹션 제목: “위험 등급 및 영향”발견된 두 취약점 모두 심각한 재정적 영향을 미칠 수 있었기 때문에 ‘치명적’으로 평가되었습니다. 첫 번째 취약점은 악의적인 인증 사용자가 다른 회사의 Trippay 결제 계정을 제어할 수 있도록 허용했습니다. 두 번째 취약점은 악의적인 사용자가 예약에 필요한 결제 금액을 변경할 수 있도록 허용했습니다.
개선 및 완화 노력
섹션 제목: “개선 및 완화 노력”우리는 발견된 취약점을 해결하기 위해 다음과 같은 조치를 취했습니다.
- 즉시 패치:심각한 취약점은 발견 후 48시간 이내에 패치되었습니다.
- 코드 검토 및 강화:개발팀은 당사의 권장 사항을 바탕으로 추가적인 보안 제어를 구현했습니다.
지속적인 개선
섹션 제목: “지속적인 개선”침투 테스트는 지속적인 보안 개선을 위한 당사의 광범위한 전략의 일환입니다. 각 테스트 결과는 당사의 보안 정책을 안내하고, 개발 관행에 영향을 미치며, 보안 아키텍처 개선을 촉진합니다.
팀 전문성
섹션 제목: “팀 전문성”저희 침투 테스트는 다양한 프로젝트와 산업 분야에서 풍부한 경험을 보유한 사내 전문가가 수행합니다. 저희 전문가는 최첨단 도구와 방법을 사용하여 애플리케이션이 최신 보안 위협으로부터 철저히 테스트되도록 보장합니다.
보안에 대한 헌신
섹션 제목: “보안에 대한 헌신”저희는 사용자와 이해관계자를 위해 안전한 애플리케이션 환경을 유지하기 위해 최선을 다하고 있습니다. 보안 테스트 및 개선을 위한 저희의 지속적인 노력은 진화하는 위협으로부터 보안을 강화하고자 하는 저희의 의지를 보여줍니다.
보고서 액세스 및 업데이트
섹션 제목: “보고서 액세스 및 업데이트”이 문서는 새로운 침투 테스트 보고서가 발행됨에 따라 지속적으로 업데이트됩니다. 전체 보고서를 원하시면 아래 이메일로 문의해 주세요. 향후 업데이트에는 새롭게 발견된 취약점, 해결 방안, 그리고 테스트 방법론 조정 사항이 포함될 예정입니다.
자세한 내용은 [email protected]로 문의해 주시기 바랍니다.