Vibeeye

보안 점검 카탈로그

52(무료 35 · Pro 17). 서비스 유형과 요금제에 맞는 항목만 실행됩니다.

* 전체 80+ 항목은 설계 문서 docs/CHECKS.md 참고. 아래는 초기 구현 카탈로그입니다.

LAW-NET

ID점검심각도유형요금제
LAW-NET-01정보통신망법 기술적·관리적 보호조치(전송 암호화·접근통제·접속기록)중간웹·앱·자동화·AI무료

LAW-PIPA

ID점검심각도유형요금제
LAW-PIPA-02개인정보처리방침 게시(이메일 1건 수집도 의무)높음웹·앱·AI무료
LAW-PIPA-03주민번호·비밀번호·카드 암호화 저장높음웹·앱·자동화·AIPro

SEC-AI

ID점검심각도유형요금제
SEC-AI-02불안전한 출력 처리(LLM 출력을 SQL·쉘·HTML로 그대로 실행)치명AIPro
SEC-AI-03과도한 에이전시(툴/함수호출 인가·범위·휴먼승인 부재)높음AIPro
SEC-AI-06AI 비용/DoS 방어(토큰·호출 한도·타임아웃·예산)중간AIPro

SEC-AUTH

ID점검심각도유형요금제
SEC-AUTH-01모든 API 엔드포인트에 인증 검증(인증 없는 /api/* 금지)치명웹·자동화·AI무료
SEC-AUTH-02JWT는 verify()로 검증(decode 금지), 알고리즘 명시치명웹·자동화·AI무료
SEC-AUTH-04쿠키 HttpOnly·Secure·SameSite 속성높음웹·AI무료
SEC-AUTH-05로그인 무차별 대입 방지(레이트리밋·계정 잠금)·MFA·강한 비밀번호 정책높음웹·자동화·AI무료

SEC-BIZ

ID점검심각도유형요금제
SEC-BIZ-01클라 입력(가격·수량·권한) 서버 재검증(우회 결제 방지)치명웹·AIPro

SEC-CLOUD

ID점검심각도유형요금제
SEC-CLOUD-01클라우드 자격증명 최소권한 — Full Access/AdministratorAccess 금지치명웹·앱·자동화·AI무료
SEC-CLOUD-02서버에 장기 액세스 키 저장 지양 — 임시 자격증명(IAM Role/OIDC)·키 로테이션높음웹·자동화·AI무료
SEC-CLOUD-03비용 이상탐지·예산 알림(Billing/Budget Alert)·리소스 상한 — 요금 폭탄 방어중간웹·자동화·AIPro

SEC-CRYPT

ID점검심각도유형요금제
SEC-CRYPT-01민감정보 암호화(전송·저장)·약한 해시/알고리즘 금지(MD5·SHA1)높음웹·앱·자동화·AIPro

SEC-DB

ID점검심각도유형요금제
SEC-DB-01Supabase 모든 테이블 RLS 활성화 + 정책 존재치명웹·자동화·AI무료
SEC-DB-02Firebase Firestore/RTDB 보안 규칙(allow read,write: if true 금지)치명웹·앱·AI무료
SEC-DB-03DB 관리패널(phpMyAdmin·adminer 등) 인터넷 노출치명웹·자동화무료
SEC-DB-04SQL 쿼리에 사용자 입력 직접 연결 금지(파라미터 바인딩)높음웹·자동화·AI무료

SEC-DEP

ID점검심각도유형요금제
SEC-DEP-01알려진 취약 패키지·미패치 프레임워크(Next.js 등, OSV·CVE)높음웹·앱·자동화·AI무료
SEC-DEP-02잠금파일(lockfile) 존재·버전 고정(재현성)중간웹·자동화·AI무료

SEC-FILE

ID점검심각도유형요금제
SEC-FILE-01파일 업로드 검증(확장자·MIME·매직바이트·크기)높음웹·앱·AIPro
SEC-FILE-02실행 파일(.php·.jsp 등) 업로드/실행 차단치명Pro

SEC-HDR

ID점검심각도유형요금제
SEC-HDR-01HTTPS/TLS: 적용·인증서 유효·HTTP→HTTPS 리다이렉트높음웹·AI무료
SEC-HDR-02HSTS(Strict-Transport-Security)높음무료
SEC-HDR-03CSP(Content-Security-Policy)높음무료
SEC-HDR-04X-Frame-Options(클릭재킹 방어)중간무료
SEC-HDR-05X-Content-Type-Options: nosniff중간무료
SEC-HDR-06Referrer-Policy낮음무료
SEC-HDR-07Permissions-Policy(카메라·마이크 등 기능 제한)낮음무료
SEC-HDR-08X-Powered-By·서버 배너 노출 최소화낮음웹·자동화무료

SEC-INJ

ID점검심각도유형요금제
SEC-INJ-01SQL 인젝션(폼·URL 파라미터 특수문자 → 에러/DB 구조 노출)치명웹·자동화·AI무료
SEC-INJ-03OS 커맨드/코드 인젝션(eval·os.system·shell=True 등 위험 싱크)치명웹·자동화·AI무료
SEC-INJ-02프롬프트 인젝션(외부 콘텐츠·툴 출력이 시스템 지시를 덮어씀)치명AIPro
SEC-INJ-04NoSQL·템플릿·LDAP 인젝션(사용자 입력이 쿼리 연산자/템플릿에 유입)높음웹·AIPro

SEC-INTEG

ID점검심각도유형요금제
SEC-INTEG-01소프트웨어·데이터 무결성 — lockfile 고정·신뢰 소스·안전하지 않은 역직렬화 금지높음웹·자동화·AIPro

SEC-KEY

ID점검심각도유형요금제
SEC-KEY-01.env 파일이 git에 커밋되어 있지 않은가치명웹·앱·자동화·AI무료
SEC-KEY-02NEXT_PUBLIC_ 접두사로 서버 API 키 노출치명웹·AI무료
SEC-KEY-03프론트 번들·HTML에 키 하드코딩(AWS·Stripe·OpenAI·Supabase·Firebase)치명웹·앱·AI무료
SEC-KEY-04노출된 API 키 패턴 탐지(AWS·Stripe·OpenAI·Supabase·Firebase)치명웹·앱·자동화·AI무료
SEC-KEY-06시크릿을 코드가 아닌 secret store/환경변수로 분리높음자동화·웹·앱·AI무료
SEC-KEY-07로그·에러에 시크릿/토큰 평문 출력 금지높음웹·자동화·AIPro

SEC-LOG

ID점검심각도유형요금제
SEC-LOG-01보안 로깅·모니터링·이상탐지 부재중간웹·자동화·AIPro
SEC-LOG-02민감 필드 로깅 금지(비밀번호·토큰·카드·주민번호 등)높음웹·앱·자동화·AIPro

SEC-OPS

ID점검심각도유형요금제
SEC-OPS-01관리자 페이지(/admin·/dashboard) 인터넷 노출높음웹·자동화·AI무료

SEC-VAL

ID점검심각도유형요금제
SEC-VAL-03에러 메시지 내부정보 노출 금지(스택·경로·SQL 오류)중간웹·자동화·AI무료
SEC-VAL-01서버측 입력 검증 스키마(Zod·pydantic 등) 사용높음웹·자동화·AIPro

SEC-WEB

ID점검심각도유형요금제
SEC-WEB-01CORS Access-Control-Allow-Origin: * 와일드카드 금지높음웹·AI무료
SEC-WEB-03XSS 위험 싱크(dangerouslySetInnerHTML·innerHTML·document.write)높음웹·AI무료
SEC-WEB-05오픈 리다이렉트(?redirect= 로 외부 악성 사이트)중간무료
SEC-WEB-06민감 파일/경로 인터넷 노출(.env·.git·백업)치명웹·AI무료
SEC-WEB-04SSRF — 외부 URL 요청 allowlist 검증, 내부/메타데이터 차단치명웹·자동화·AIPro