Web Vulnerability Scanner를 이용한 취약성 분석

Vulnerability Analysis using the Web Vulnerability Scanner

  • 장희선 (평택대학교 e-비즈니스및창업)
  • 투고 : 2012.08.07
  • 심사 : 2012.09.07
  • 발행 : 2012.09.30

초록

Mashups, web 3.0, 자바스크립트 및 AJAX 등의 이용이 증가하면서 웹애플리케이션 서비스 제공시 웹취약점들에 대한 새로운 보안 위협이 증대되고 있으며, 이에 대한 사전 진단과 함께 대비가 요구된다. 본 논문에서는 웹취약성에 대한 보안 위협과 요구사항을 제시하고, Web Vulnerability Scanner(WVS) 자동화 도구를 이용하여 국내에서 서비스되고 있는 웹사이트를 대상으로 웹취약성을 분석한다. Cross Site Scripting(XSS)와 SQL Injection 등 대표적인 웹취약성에 대한 분석 결과, 약 22.5%에 해당하는 웹사이트가 보안에 취약한 것으로 나타났으며, 취약성 경고 수는 0부터 31,171 alerts로 분포되고, 평균 411 alerts, 편차는 2,563 alerts로서 보안 관리에 취약한 웹사이트의 경우, 경고 수가 높은 값을 나타내고 있어 세부적인 웹취약성에 대한 사전 대비가 필요함을 알 수 있다.

As the use of Mashups, web3.0, JavaScript and AJAX(Asynchronous JavaScript XML) widely increases, the new security threats for web vulnerability also increases when the web application services are provided. In order to previously diagnose the vulnerability and prepare the threats, in this paper, the classification of security threats and requirements are presented, and the web vulnerability is analyzed for the domestic web sites using WVS(Web Vulnerability Scanner) automatic evaluation tool. From the results of vulnerability such as XSS(Cross Site Scripting) and SQL Injection, the total alerts are distributed from 0 to 31,177, mean of 411, and standard deviation of 2,563. The results also show that the web sites of 22.5% for total web sites has web vulnerability, and the previous defenses for the security threats are required.

키워드

참고문헌

  1. 김승현, 진승헌, "사용자 동의없는 개인정보 수집기술 동향," 주간기술동향, 제1544호, pp.1-14, 2012년.
  2. 김점구, 노시춘, 이도현, "Injection Flaws를 중심으로 한 웹 애플리케이션 취약점 진단 시스템 개발," 정보보안 논문지, 제12권, 제3호, pp.99-106, 2012년.
  3. 김점구, 노시춘, 이도현, "ISO/IEC9000 모델을 참조한 웹 애플리케이션 보안품질 관리체계 설계," 정보보안 논문지, 제12권, 제3호, pp.11-17, 2012년.
  4. 박종훈, "구글의 프라이버시 정책 변경과 개인화 검색의 함의," 주간기술동향, 제1532호, pp.28-39, 2012년
  5. 선재훈, 김귀남, "Cloud Computing의 개인정보 보안을 위한 취약점 분석," 정보보안 논문지, 제10권, 제4호, pp.77-82, 2010년.
  6. 이강신, "국내외 정보보호 관리 모델에 관한 고찰," 정보보호학회지, 제11권, 제3호, pp.24-37, 2001년.
  7. 양대일, 정보보안 개론과 실습-네트워크 해킹과 보안, 한빛미디어, 2012년.
  8. 양대일, 정보보안 개론과 실습-시스템 해킹과 보안, 한빛미디어, 2012년.
  9. 윤석규, 장희선, "u-City에서의 정보보안 설계 방안', 정보보안 논문지, 제11권, 제4호, pp.37-42, 2011년.
  10. 최경철, 웹 해킹과 방어, 프리렉, 2008년.
  11. 한국인터넷진흥원(KISA), http://www.kisa.or.kr.
  12. 한국정보통신기술협회(TTA), http://word.tta.or.kr/index.jsp.
  13. Acunetix, http://www.acunetix.com.
  14. David Gourley and Brian Totty, HTTP: The Definitive Guide, O'Reilly Media, 2002.
  15. ISO/IEC, Guidelines for the Management of IT Security(GMITS), TR13335, 2000.
  16. K. Vieira, A. Schulter, C. Westphall and M. Westphall, "Ensuring Data Storage Security in Cloud Computing," IT Professional, Vol. 12, pp.38-43, 2010.
  17. OWASP, http://www.owasp.org.