출시 예정API 콘솔과 개발자 문서를 준비 중입니다.문서 미리보기
SShogun
API 키 받기
asa — API Security Audit

보안 전담자가 없어도, 대기업에 제출할 수 있는 API 진단을.

대기업 고객에게 제출할 수 있는 API 진단 보고서와 개발자가 그대로 고칠 수 있는 수정안을, 릴리스 전에.

AI 자동 진단의 결과를 ZKSC 전문가가 모두 확인하고, 거래처 제출과 감사 대응에 그대로 사용할 수 있는 일본어 진단 보고서와 수정 위치를 파일명·행 번호까지 특정한 수정안을 릴리스 전에 전달해 드립니다.

무료로 상담하기서비스 내용 보기
  • OWASP API Top 10 준수
  • 5~10영업일 내 납품
  • 제출용 일본어 진단 보고서
  • ZKSC reviewed (전문가가 전건 확인)

정식 서비스명: ZKSC API Managed Security / 운영: ZKSC 株式会社

api-security-report.pdf
High他のテナントの注文情報を取得できる(BOLA)

src/api/orders.ts:142

修正案:注文の所有者がログイン中のテナントと一致するか検証する

MediumWebhook の署名検証が未実装

src/webhooks/payment.ts:57

修正案:HMAC による署名検証を追加する

Lowログイン API にレート制限がない

src/middleware/rate-limit.ts:12

修正案:IP とアカウントごとの試行回数制限を導入する

ZKSC reviewed — 전문가 확인 완료

이런 고민, 있지 않으신가요?

대기업 고객이나 감사에서 제3자의 API 진단 보고서를 요구받았지만, 사내에 대응할 수 있는 사람이 없다

기존 취약점 진단 업체는 비용이 높고 납기도 길어, 잦은 릴리스를 따라가지 못한다

자동 스캔 도구는 도입했지만, 검출 결과를 해석해 수정까지 이어갈 사람이 없다

권한 관리, 테넌트 분리, 결제, Webhook 같은 비즈니스 로직 결함으로 인한 사고가 불안하다

소스 코드와 인증 정보를 외부에 맡기기 위한 사내 심사와 조율이 부담이 된다

릴리스 전에, 지킨다.

고객에게 제출할 수 있는 보고서

감사나 보안 체크리스트 응답에 그대로 사용할 수 있는, 제출용 일본어 진단 보고서를 전달해 드립니다.

개발자가 그대로 고칠 수 있다

수정 위치의 파일명·행 번호, 재현 절차, 수정 방침, 티켓에 그대로 붙여 넣을 수 있는 문안까지, 수정에 필요한 정보를 한 번에 납품합니다.

릴리스 판단에 쓸 수 있다

모든 검출 결과에 우선순위를 매겨, 지금 수정할지 리스크로 수용할지를 릴리스 전에 판단할 수 있게 합니다.

사고로 이어지는 영역을 집중 진단

인증·인가의 결함, 테넌트 간 데이터 분리, 결제 처리, Webhook 등 실제 사고로 이어지기 쉬운 영역을 집중적으로 진단합니다.

릴리스 후에도 계속 지킨다

릴리스 후 3개월간의 변경 모니터링과 재진단으로, 릴리스 이후 추가된 변경이 만든 새로운 리스크까지 확인합니다.

안심하고 맡길 수 있는 체계

NDA·DPA·Rules of Engagement 체결과 함께 AI의 이용 범위도 사전에 설명합니다. 도입 시 사내 심사에 필요한 문서를 갖추고 있습니다.

서비스 흐름

01

범위 확인·계약

NDA(비밀유지계약)와 Rules of Engagement(진단 실시 조건)를 체결하고, 스캔하지 않을 조건까지 사전에 합의합니다.

02

API 정보 제공

OpenAPI 정의, 검증 환경, 권한별 테스트 계정, 인증 방식 정보를 전달받습니다.

03

AI 진단 + 전문가 리뷰

AI 자동 진단의 결과를 ZKSC 전문가가 확인하고, 오탐을 제거한 뒤 우선순위를 매깁니다.

04

보고서 납품 + 재진단

제출용 보고서와 개발자용 수정안을 납품하고, 수정 후 재진단을 1회 실시합니다.

납품물취약점 목록(심각도·확신도·영향 범위), 재현 절차와 해당 위치(파일명·행 번호), 수정안, 티켓용 문안, 제출용 일본어 보고서, 진단 작업 기록(감사 증적)

단발 진단부터 지속적인 모니터링까지.

단발

Release Scan

릴리스 전 API를 전체적으로 진단하고 보고서를 납품합니다. 수정 후 재진단 1회가 포함됩니다.

문의하기
3개월

Launch Guard

릴리스 전후 API의 변경을 모니터링하고, 매주 상황을 정리해 보고합니다.

문의하기
추천지속

Business Monitor

주요 API를 지속적으로 모니터링하고, 월간 보고서를 전달해 드립니다.

문의하기

가장 저렴한 스캔 도구가, 아닙니다.

Burp, ZAP, Snyk 같은 스캔 도구의 대체를 목표로 하지 않습니다. 도구만으로는 채워지지 않는 운영·전문가 리뷰·일본어 보고·고객 제출까지 맡는, 중간 가격대의 매니지드 시큐리티입니다.

ZKSC reviewed

자동 진단의 결과는 ZKSC 전문가가 한 건씩 확인합니다. 오탐을 제거하고 우선순위를 매긴 뒤에 전달합니다.

비즈니스 로직 결함에 강하다

권한 결함(BOLA·IDOR), 테넌트 분리, 결제, Webhook 등 자동 스캔으로는 찾기 어려운 결함을 집중적으로 진단합니다.

일본어로 완결

보고서도 수정 관련 소통도 모두 일본어입니다. 사내 품의나 고객 제출에 그대로 사용할 수 있고, 수정이 끝날 때까지 지원합니다.

릴리스 전 + 3개월

1년 내내 이어지는 상시 모니터링이 아니라, 리스크가 가장 높은 릴리스 전후 기간에 집중해 진단과 모니터링을 수행합니다.

자주 묻는 질문

소스 코드와 인증 정보는 어떻게 다뤄지나요?

인증 정보 관리 정책에 따라 취급하며, 데이터 보관 기간과 삭제 조건은 계약 시 정합니다. 제3자 재위탁은 하지 않습니다.

운영 환경에 영향은 없나요?

데이터의 변경이나 삭제를 동반하지 않는 비파괴 진단만 수행합니다. 스캔하지 않을 조건을 사전에 합의하고, 실시 내용은 모두 기록으로 남깁니다.

계약과 법무는 어떻게 진행되나요?

NDA·DPA·Rules of Engagement를 체결하고, AI를 어느 범위에서 사용하는지도 계약 전에 설명해 드립니다.

어떤 업종이 대상인가요?

B2B SaaS, 핀테크, Web3, HR, 의료, 부동산 테크 등 API를 제공하는 사업자를 상정하고 있습니다.

우선 1회, 릴리스 전 진단부터.

5~10영업일 안에, 거래처에 그대로 제출할 수 있는 일본어 진단 보고서를 전달해 드립니다.

무료로 상담하기

정식 서비스명: ZKSC API Managed Security / 운영: ZKSC 株式会社