FAQ

몇 가지 자주 물어보는 질문(FAQ)입니다.

일반

내 스캔의 상태가 " 스캔 검토 중"으로 변경된 이유는 무엇입니까?

스캔에 실패하면 어떻게 됩니까?

내 스캔을 삭제해도 계속해서 무료 다시 스캔 기간을 이용할 수 있습니까?

삭제한 스캔에서 스캔 결과를 검색할 수 있습니까?

다시 스캔한 후 이전 스캔의 스캔 결과를 검색할 수 있습니까?

스캔을 완료하는 데 얼마나 걸립니까?

스캔에 시간이 오래 걸리는 것 같습니다. 스캔이 중지된 것은 아닙니까?

스캔을 삭제하지 않는 경우 얼마 동안 데이터베이스에 보관됩니까?

ASoC에서는 어떤 IP를 사용합니까?

모바일 분석

Android 모바일 앱 테스트에서 어떤 보안 문제를 테스트합니까?

iOS 모바일 앱 테스트에서 어떤 보안 문제를 테스트합니까?

웹 사이트 동적 분석

웹 사이트에 대해 스테이징 스캔과 프로덕션 스캔의 차이점은 무엇입니까?

웹 앱에서 어떤 보안 문제를 테스트합니까?

웹 사이트 정적 분석

정적 테스트를 포함한 웹 앱에서 어떤 보안 문제를 테스트합니까?

정적 분석 IRX 파일은 무엇이며 어떤 정보가 포함되어 있습니까?

내 스캔의 상태가 " 스캔 검토 중"으로 변경된 이유는 무엇입니까?

스캔 중에 자동화된 프로세스가 최적 결과 미만을 생성할 수 있음을 ASoC에서 발견하는 경우에 스캔 상태는 "스캔 검토 중"으로 변경됩니다. 설정은 당사 팀의 검토를 거쳐서 최상의 스캔 결과를 보장하도록 수정될 수 있습니다. 이 단계에서 사용자의 입력은 필요하지 않습니다. 그리고 검토가 취소되므로 스캔을 취소하지 마십시오. 설정의 검토가 완료되면(일반적으로 몇 시간 이내에) 스캔이 재개되고 완료됩니다.
스캔이 검토될 수 있는 가능한 이유에는 다음이 포함됩니다.
  • 올바르지 않은 로그인 신임 정보
  • 올바르지 않은 파일
  • 서버가 응답하지 않음
  • IP가 차단됨
  • 계정 잠금
  • 결과에서 수동 확인이 필요함

스캔에 실패하면 어떻게 됩니까?

  • 계정에 비용이 청구되지 않습니다.
  • 스캔이 실패한 이유를 진단할 수 있는 경우 사용자가 수정할 수 있도록 시스템에서 알립니다.

내 스캔을 삭제해도 계속해서 무료 다시 스캔 기간을 이용할 수 있습니까?

아니오. 휴지통 아이콘을 클릭하는 경우 다시 스캔 옵션이 무효화되며 새 스캔을 구매해야 합니다.

삭제한 스캔에서 스캔 결과를 검색할 수 있습니까?

아니오. 휴지통 아이콘을 클릭하면 데이터베이스에서 결과가 삭제됩니다.

다시 스캔한 후 이전 스캔의 스캔 결과를 검색할 수 있습니까?

아니오. 애플리케이션을 다시 스캔하면 이전 결과가 데이터베이스에서 삭제됩니다.

스캔을 완료하는 데 얼마나 걸립니까?

애플리케이션의 크기와 복잡도에 따라 몇 분에서 몇 일까지 소요될 수 있습니다. 스캔이 완료되면 이메일을 받을 수 있도록 선택할 수 있습니다.

스캔에 시간이 오래 걸리는 것 같습니다. 스캔이 중지된 것은 아닙니까?

모니터링 시스템에서 진행되지 않는 스캔이 중지되었는지 확인하기 위해 스캔의 진행상태를 점검합니다. 스캔이 아직 실행 중인 것으로 보이는 경우에는 아마 스캔이 실행 중일 수 있습니다.

스캔을 삭제하지 않는 경우 얼마 동안 데이터베이스에 보관됩니까?

사용자가 업로드한 파일(예: APK, IPA, IRX, SCAN 및 SCANT)은 문제점 해결 용도로 최대 1개월 정도 서비스에 캐시됩니다. 사용자가 스캔 결과를 삭제하거나 사용자 계정이 삭제되지 않는 한 스캔 결과는 서비스에 영구적으로 저장됩니다.

ASoC에서는 어떤 IP를 사용합니까?

ASoC 웹 사이트에 접속하려면 IP 범위: 174.36.26.136/29, 67.228.248.120/29, 174.36.7.48/29.가 차단되지 않아야 합니다.

스캔 중에 ASoC는 IP 범위: 174.37.31.184/29, 192.8.127.16/28, 169.45.111.128/29, 208.43.25.32/27.에서 서버에 연결합니다.

개인용 사이트나 앱의 경우, AppScan Presence는 443 포트를 사용하여 IP 범위: 208.43.25.32/27, 192.8.127.16/28 및 169.44.202.128/25을 통해 서버에 연결할 수 있어야 합니다.

Android 모바일 앱 테스트에서 어떤 보안 문제를 테스트합니까?

  • 액티비티 하이재킹
  • Android 클래스 로딩 하이재킹
  • Android 프래그먼트 인젝션
  • 브로드캐스트 도난
  • 버퍼 오버플로우
  • 클라이언트 측 SQL 인젝션
  • 상수 초기화 벡터(IV)
  • 상수 비밀번호
  • 상수 솔트
  • 상수 비밀 키
  • 상수 시드
  • 상수 토큰
  • Java™ 코드의 손상
  • 네이티브 코드의 손상
  • XAS(Cross-Application Scripting)
  • 중간자 공격(MiTM)을 통한 XSS(Cross-site scripting)
  • 릴리스 버전에서 디버그 플래그 사용
  • 디버그 버전 발견
  • 더 이상 사용되지 않는 SSL 버전이 지원됨
  • 파일 조작
  • 정보 유출
  • 비보안 파일 권한
  • 보류 중인 비보안 Intent
  • 비보안 직렬화
  • 프레임워크에 의해 비보안 직렬화
  • 비보안 TLS/SSL Trust Manager
  • 비보안 WebView TLS/SSL 오류 핸들러
  • 중간자 공격(MiTM)을 통한 피싱
  • 서비스 하이재킹
  • UI 위조
  • 안전하지 않은 리플렉션
  • 취약한 난수 생성기

iOS 모바일 앱 테스트에서 어떤 보안 문제를 테스트합니까?

  • AFNetworking 프레임워크 취약성
  • 클라이언트 인증서 가져오기
  • 영구적으로 저장되는 신임 정보
  • 중간자 공격(MiTM)을 통한 XSS(Cross-site scripting)
  • 디버그 기호 존재
  • HTTP 요청 하이재킹
  • HTTPS 캐싱
  • HTTPS에서 HTTP로 경로 재지정
  • 정보 유출
  • 비보안으로 백그라운드에서 실행되는 애플리케이션
  • 키체인 데이터 보호
  • 인증서 피닝 미흡
  • 신임 정보 유효성 검증 부족
  • 악성코드 - XCodeGhost
  • 중간자 공격(MiTM)
  • 누락된 도메인 이름 유효성 검증
  • 영구 저장된 NSURL 신임 정보
  • 널 초기화 벡터
  • 보안되지 않은 임시 보드 사용
  • 중간자 공격(MiTM)을 통한 피싱
  • PIE 보호
  • 개인정보 자원 액세스
  • IPA의 애플리케이션이 스트립되지 않은 2진인지 여부
  • 전송 보안 - 인증서 체인 유효성 검증
  • 약한 SSL 암호 스위트가 지원됨
  • 약한 JailBreak 발견
  • 취약한 난수 생성기
  • XXE(XML External Entity) 처리

웹 사이트에 대해 스테이징 스캔과 프로덕션 스캔의 차이점은 무엇입니까?

프로덕션 스캔은 사이트 안정성에 영향을 주는 위험을 줄이도록 디자인되었습니다. 스캔이 사이트를 탐색할 때 양식이 제출되지 않고 더 낮은 요청 비율이 사용됩니다.

웹 앱에서 어떤 보안 문제를 테스트합니까?

  • 기능 악용 공격
  • 무차별 대입공격
  • 버퍼 오버플로우
  • 컨텐츠 위조
  • 신임/세션 예측
  • CSRF(Cross-Site Request Forgery)
  • XSS(Cross-site scripting)
  • 서비스 거부(DOS)
  • 디렉토리 색인화
  • 형식 문자열
  • HTTP 응답 분할
  • 정보 유출
  • 비보안 색인화
  • 충분하지 않은 인증
  • 충분하지 않은 권한 부여
  • 충분하지 않은 세션 만기
  • 충분하지 않은 전송 계층 보호
  • 정수 오버플로우
  • LDAP 인젝션
  • 메일 명령 인젝션
  • 악성 컨텐츠 테스트
  • 널 바이트 인젝션
  • OS 명령 실행
  • 경로 조회
  • 예측 가능한 자원 위치
  • RFI(Remote File Inclusion)
  • 잘못된 서버 구성
  • 세션 고정
  • SOAP 배열 악용
  • SQL 인젝션
  • SSI 인젝션
  • URL 경로 재지정자 악용
  • XML 속성 블로우업
  • XML 엔티티 확장
  • XML 외부 엔티티
  • XML 인젝션
  • XPath 인젝션
참고: 스테이징 및 프로덕션 사이트에 대해 동일한 문제를 테스트하지만 일부 문제의 경우 프로덕션 테스트는 스테이징 테스트만큼 완전하지 않습니다.

정적 테스트를 포함한 웹 앱에서 어떤 보안 문제를 테스트합니까?

  • AppDOS
  • 브라우저가 민감한 정보를 캐싱함
  • 주석에 민감한 정보가 드러남
  • 구성 문제
  • XSS(Cross-site scripting)
  • DB 연결 문자열 조작
  • 이메일 피싱
  • 이메일 변조
  • 인코딩 필요
  • 웹 서비스 노출
  • 파일 변조
  • 파일 업로드
  • HTTP 요청 분할
  • HTTP 응답 분할
  • LDAP 인젝션
  • 경로 재지정 열기
  • OS 명령 인젝션
  • 경로 조회 잠재 비즈니스 로직 문제(비보안 직접 오브젝트 참조도 다룸)
  • 권한 상승
  • RegEx 인젝션
  • 테스트 코드 제거
  • SecondOrder 인젝션
  • 민감한 데이터 노출
  • 민감한 데이터가 로그에 저장됨
  • 민감한 정보가 오류 메시지에 표시됨
  • 세션 관리 제한시간 초과 값이 너무 큼
  • SQL 인젝션
  • 암호화되지 않은 통신
  • URL 변조
  • 암호 문제로 안전하지 않은 난수 생성기 사용
  • 숨겨진 필드 사용
  • 비보안 암호화 알고리즘 사용
  • 안전하지 않은 네이티브 코드 사용
  • 취약한 액세스 제어
  • 취약한 인증
  • XML 인젝션
  • XPath 인젝션
  • XSLT 인젝션

정적 분석 IRX 파일은 무엇이며 어떤 정보가 포함되어 있습니까?

IRX은 프로그램의 전체 정적 분석을 실행하기 위해 필요한 정보가 포함된 보안 암호화 zip 아카이브입니다. 이 파일은 작성 시 및 클라우드로 전송되는 동안(SSL을 통해) 암호화되어 변경되지 않습니다.

내부적으로 IRX 아카이브에는 다음과 같은 파일 및 아티팩트가 포함됩니다.

  • 배치된 소스 코드(예: Java 바이트코드 또는 .Net MSIL)로부터 빌드되는 배치 가능한 프로그램 아티팩트에 대한 IBM에서 디자인한 소유권 및 난독화 표시. 정적 분석 캔에서 지원되는 언어를 확인하려면 정적 분석의 시스템 요구사항의 내용을 참조하십시오.
  • 보안 취약점을 분석할 수 있는 프로그램을 통해 배치되는 모든 런타임 스크립트 파일(예: .js(Javascript) 또는 .rb(Ruby) 파일).
  • 애플리케이션 또는 프로젝트 계층 구조 및 프로그램의 관계 또는 종속성에 대해 설명하는 Static Analyzer 구성 파일. 이를 통해 애플리케이션 내에서 프로젝트 경계를 넘어 정확하고 완전한 보안 분석을 수행할 수 있습니다.
  • 아카이브 작성 중에 생성되는 Static Analyzer 로그 파일(진단 및 지원용).