XYLENCH

해커의 시선으로
취약점을 찾습니다.

현재 운영 중인 사이트, 외부 공격에 노출되어 있을 수 있습니다.공격자보다 먼저 발견하고, 방어 방법까지 안내합니다.

무료 사전 상담 받기
OWASP Top 10 기준NDA 체결 · 데이터 보호재점검 포함

// warning

현재 이런 상태라면,
실제 공격이 가능합니다

아래 항목 중 하나라도 해당된다면, 지금 바로 점검이 필요합니다.

Critical

관리자 페이지가 외부에 노출된 상태

example.com/admin

누구나 관리자 로그인 페이지에 접근 가능

High

로그인 시도 횟수 제한 없음

무차별 대입 공격 (Brute Force)

자동화 도구로 수분 내 비밀번호 탈취

Critical

사용자 입력값 검증 없음

SQL Injection 가능

데이터베이스 전체 접근 · 개인정보 유출

High

오래된 라이브러리 사용

알려진 취약점(CVE) 존재

공개된 익스플로잇으로 즉시 공격 가능

// incidents

실제 발생한 웹 해킹 사례

이 사례들은 모두 사전 점검으로 예방할 수 있었습니다.

사례 01Critical

쇼핑몰 관리자 페이지 노출

공격 방식: 관리자 경로 추측 + 약한 비밀번호

결과: 전체 상품 삭제, 사이트 마비

피해: 매출 손실 + 고객 이탈

사례 02Critical

SQL Injection 취약점

공격 방식: 로그인 폼 입력값 미검증

결과: 고객 개인정보 10만 건 유출

피해: 과징금 + 형사고발 가능

사례 03Critical

파일 업로드 취약점

공격 방식: 이미지 위장 웹쉘 업로드

결과: 서버 완전 장악 · 데이터 탈취

피해: 서비스 전면 중단

사례 04High

XSS (크로스 사이트 스크립팅)

공격 방식: 게시판 · 댓글에 악성 스크립트 삽입

결과: 사용자 세션 탈취 · 피싱 페이지 유도

피해: 고객 계정 도용

// methodology

진행 절차

정찰부터 재공격까지. 공격자의 킬 체인을 따릅니다.

STEP 01

정찰 (Reconnaissance)

서비스 환경, 기술 스택, 공격 표면을 파악하고 진단 범위를 확정합니다.

무료 · 1~2일

STEP 02

NDA · 환경 준비

비밀유지계약 체결, 테스트 계정 및 접근 권한을 설정합니다.

1~2일

STEP 03

공격 수행 (Exploitation)

자동화 스캔 + 수동 공격을 병행하여 실제 침투 가능한 취약점을 식별합니다.

5~10 영업일

STEP 04

보고서 작성

위험도, 재현 PoC, 코드 수준 개선안을 포함한 보고서를 작성합니다.

진단 완료 후 72h 이내

STEP 05

개선 지원

개발팀의 패치를 지원하며, 올바른 방어 코드 작성을 안내합니다.

보고서 전달 후 2주

STEP 06

재공격 (Re-test)

패치 완료 후 동일 벡터로 재공격하여 실제 방어 여부를 검증합니다.

1회 기본 포함

// report_preview

진단 보고서 미리보기

실제 전달되는 보고서의 구성을 미리 확인하세요.

발견된 취약점
Critical 1High 3Medium 5Low 2
CriticalSQL Injection

위치

/api/user?id=

영향

DB 전체 접근 가능 · 개인정보 유출 위험

재현 방법

  1. 1대상 URL의 'id' 파라미터에 UNION SELECT 구문 삽입
  2. 2응답에서 다른 테이블(users)의 데이터 반환 확인
  3. 3관리자 계정 정보 추출 성공
HighBroken Authentication

위치

/login

영향

무차별 대입 공격으로 계정 탈취 가능

재현 방법

  1. 1로그인 시도 횟수 제한 없음 확인
  2. 2Hydra 도구로 자동화 공격 수행
  3. 3약 3분 내 관리자 비밀번호 크래킹
MediumMissing Security Headers

위치

전체 응답 헤더

영향

Clickjacking, MIME Sniffing 공격 가능

재현 방법

  1. 1X-Frame-Options 헤더 미설정 확인
  2. 2Content-Security-Policy 미설정 확인
  3. 3iframe을 이용한 클릭재킹 PoC 작성

* 위 내용은 보고서 구성 예시이며, 실제 보고서에는 코드 수준 개선 가이드가 포함됩니다.

// why_xylench

왜 XYLENCH인가

자동화 스캐너만 사용하지 않습니다

도구 결과를 그대로 전달하는 것이 아니라, 수동 공격으로 실제 침투 가능 여부를 검증합니다.

실제 공격 가능한 취약점만 보고합니다

오탐(False Positive)을 제거하여, 개발팀이 진짜 위험한 항목에만 집중할 수 있도록 합니다.

개발자 관점에서 수정 코드까지 제공합니다

"취약합니다"에서 끝나지 않습니다. 어떤 코드를 어떻게 고쳐야 하는지 구체적으로 안내합니다.

재점검이 기본 포함됩니다

패치 후 동일 벡터로 재공격하여 실제 방어 여부를 검증합니다. 추가 비용이 없습니다.

이런 서비스를 운영 중이라면 진단이 필요합니다

  • 쇼핑몰 (카페24, 아임웹, 자체 개발)
  • 예약 시스템 (병원, 학원, 미용실)
  • 고객정보를 저장하는 웹사이트
  • 관리자 페이지가 있는 서비스
  • 회원 가입 · 결제 기능이 있는 서비스
  • SaaS · 회원제 플랫폼

보안과 신뢰

고객의 데이터를 최우선으로 보호합니다.

  • NDA(비밀유지계약) 체결
  • 진단 데이터 외부 유출 없음
  • 고객 데이터 접근 최소화
  • 진단 완료 후 테스트 데이터 파기

// pricing

요금 안내

정확한 견적은 사전 상담 후 공격 표면 분석에 따라 산정됩니다.

Starter

소규모 홈페이지

30만원~

5페이지 이하 소규모 사이트 기준

  • 관리자 페이지 점검
  • OWASP Top 10 기본 점검
  • 취약점 보고서 제공
  • 이메일 Q&A 지원
상담 신청

Essential

소규모 웹 서비스

50만원~

페이지 수·API 규모에 따라 변동

  • 단일 도메인 웹 진단
  • OWASP Top 10 기반 점검
  • 취약점 보고서 + 개선 가이드
  • 1회 재점검 (Re-test)
  • 보고서 전달 후 1주 Q&A
상담 신청

Professional

추천

중규모 서비스 / 스타트업

250만원~

대상 시스템 수·복잡도에 따라 변동

  • 복수 도메인 · 대규모 웹 진단
  • 비즈니스 로직 심층 공격
  • 경영진 요약 보고서
  • 1회 재점검 (Re-test)
  • 보고서 전달 후 2주 Q&A
상담 신청

Enterprise

대규모 / 정기 진단

별도 협의

범위·기간에 따라 맞춤 견적

  • 전사 웹 서비스 통합 진단
  • 소스코드 리뷰 (선택)
  • CI/CD 보안 검토 (선택)
  • 재점검 2회
  • 보고서 전달 후 4주 Q&A
상담 신청

// faq

자주 묻는 질문

// contact

무료 사전 상담 신청

진단 범위, 일정, 비용 등 궁금한 점을 편하게 문의해 주세요.
회사명, 서비스 URL, 우려 사항을 함께 보내주시면 더 빠른 안내가 가능합니다.

nhd5913@naver.com