Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지

A Study on Web Vulnerability Assessment and Prioritization of Measures by Vulnerabilities

웹 취약점 점검 및 취약점별 조치 우선 순위 산정에 관한 연구

  • 성종혁 (경기대학교 산업보안학과) ;
  • 이후기 (숭실대학교 IT정책경영학과) ;
  • 고인제 (경기대학교 산업보안학과) ;
  • 김귀남 (경기대학교 융합보안학과)
  • Received : 2018.08.31
  • Accepted : 2018.09.23
  • Published : 2018.09.30
Download PDF
⟨ Previous Next ⟩

Abstract

Today we live in a flood of web sites and access numerous websites through the Internet to obtain various information. However, unless the security of the Web site is secured, Web site security can not be secured from various malicious attacks. Hacking attacks, which exploit Web site security vulnerabilities for various reasons, such as financial and political purposes, are increasing. Various attack techniques such as SQL-injection, Cross-Site Scripting(XSS), and Drive-By-Download are being used, and the technology is also evolving. In order to defend against these various hacking attacks, it is necessary to remove the vulnerabilities from the development stage of the website, but it is not possible due to various problems such as time and cost. In order to compensate for this, it is important to identify vulnerabilities in Web sites through web vulnerability checking and take action. In this paper, we investigate web vulnerabilities and diagnostic techniques and try to understand the priorities of vulnerabilities in the development stage according to the actual status of each case through cases of actual web vulnerability diagnosis.

오늘날 우리는 웹 사이트의 홍수 속에 살고 있으며, 다양한 정보를 얻기 위해서 인터넷을 통해 수많은 웹 사이트에 접속을 하고 있다. 하지만 웹 사이트의 보안성이 담보되지 않는다면, 여러 악의적인 공격들로부터 웹 사이트의 안전성을 확보할 수가 없다. 특히 금전적인 목적, 정치적인 목적 등 다양한 이유로 웹 사이트의 보안 취약점을 악용한 해킹 공격이 증가하고 있다. SQL-Injection, 크로스사이트스크립트(XSS), Drive-By-Download 등 다양한 공격기법들이 사용되고 있으며, 그 기술 또한 갈수록 발전하고 있다. 이와 같은 다양한 해킹 공격들을 방어하기 위해서는 웹 사이트의 개발단계부터 취약점을 제거하여 개발하여야 하지만, 시간 및 비용 등 여러 문제들로 인해 그러지 못하는 것이 현실이다. 이를 보완하기 위해 웹 취약점 점검을 통해 웹 사이트의 취약점을 파악하고 조치하는 것이 중요하다. 이에 본 논문에서는 웹 취약점 및 진단기법에 대해 알아보고 실제 웹 취약점 진단 사례를 통해 각 사례별 조치현황에 따른 개발단계에서의 취약점별 조치 우선 순위에 대해 알아보고자 한다.

Keywords

References

  1. 이진영, 김동진 등 7명, "CWE와 7PK 취약점 분류 비교", 한국정보과학회 학술발표논문집 Vol.36, No.2(D), 2009. 11.
  2. F. Piessens, "A Taxonomy of Causes of Software Vulnerabilities in Internet Software.", Augst. 2002.
  3. C. V. Berghe, J. riordan, F. Piessens, "A Vulnerability Taxonomy Methodology applied to Web Services", Nordic Workshop on Secure IT System., Proceedings of the 10th NordSec, 2005.
  4. Katkar Anjail S., Kulkarni Raj B., "Web Security", International Journal of Innovative Research & Development, Vol1, Issue8, pp. 448-458, 2012.
  5. 안준선, 이은영, 창병모, "SW 개발보안을 위한 보안약점 표준목록 연구", 정보보호학회지, 제25권 제1호, 2015. 2.
  6. Common Weakness Enumeration(CWE), http://cwe.mitre.org/
  7. 2017 OWASP(The Open Web Application Security Project) Top 10, https://www.owasp.org/index.php/Top_10_2017-Top_10
  8. 이도현, 이종욱, 김점구, "멀티테넌시 기반 웹사이트의 OWASP TOP 10 보안취약성 검증방법", 융합보안 논문지 제16권 제4호, 2016. 6.
  9. 2011 CWE/SANS Top 25 Most Dangerous Software Errors, http://cwe.mitre.ofg/top25/
  10. 한경숙, 김태환, 한기영, 임재명, 표창우, "대한민국 전자정부 소프트웨어 개발보안 가이드 개선 방안 연구", 정보보호학회논문지, 제22권 제5호, 2012. 10.
  11. Common Weakness Scoring System(CWSS), http://cwe.mitre.org/cwss/
  12. 국가정보원, "홈페이지 보안관리 매뉴얼", 2005. 05.