⚠ CRITICAL: Database unprotected → Full deletion possible → No authentication required
⚠ HIGH: Admin panel exposed → All user data accessible → Payment info leaked
⚠ HIGH: Payment system open → Unauthorized charges possible → No rate limiting
⚠ MEDIUM: AI system exposed → Core IP leaked → Model configs public
프론트엔드 번들, API, 데이터베이스, 인증, 결제 — 체크리스트가 아닌 실제 공격자의 시선으로 테스트합니다.
실제 감사에서 발견한 것들
테스트 환경이 아닙니다. 실제 유저가 있는 프로덕션 앱입니다.
삭제/수정에 인증이 없었습니다. 방문자 누구나 프로덕션 DB 전체를 날릴 수 있는 상태.
관리자 패널이 모든 로그인 유저에게 열려있었습니다. 이름, 이메일, 전화번호, 결제 이력 전부.
시스템 프롬프트, 모델 설정, 내부 도구 — 기업의 핵심 지적재산이 모든 방문자에게 전송.
Stripe 연동에 인증이 없었습니다. 누구나 결제 세션을 만들거나 타인 계정에 과금 시도 가능.
API 스키마 전체 노출. 유저 DB를 인증 없이 쿼리 가능. 개인정보 자유 접근.
레이스 컨디션과 프로모 코드 결함으로 무제한 생성 가능. 수개월의 매출 손실.
감사 범위
JavaScript를 디컴파일하여 노출된 API 키, 시크릿, 내부 엔드포인트를 전부 찾습니다.
모든 엔드포인트를 테스트 — 인증 우회, IDOR, 권한 상승, 레이트 리밋, 데이터 유출.
직접 접근 테스트. RLS 정책. 누구나 DELETE 가능한지 확인합니다.
JWT 분석, 세션 하이재킹, OAuth 미스컨피그, 토큰 유출, 자격증명 노출.
Stripe 결제를 아무나 실행할 수 있는지? 결제 플로우를 끝까지 테스트합니다.
프롬프트 추출, 인젝션 공격, 모델 설정 노출, RAG 파이프라인 분석.
프로세스
URL을 보내세요. 24시간 내 무료 초기 스캔. 미팅 없음, 영업 전화 없음.
AI 도구 + 수동 테스트. 감사자가 아닌 공격자처럼 생각합니다.
모든 발견 사항에 심각도, 증거, 코드 증명, 정확한 수정 방법을 포함.
크리티컬 이슈 패치를 도와드립니다. 수정 검증. 선택적 지속 모니터링.
사례 연구
회사명은 익명 처리. 발견 내용은 실제입니다.
총 17개 사 감사 완료
시작하기
URL을 보내주세요. 24시간 내에 무엇이 노출되어 있는지 보여드립니다. 완전 무료.