• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.25 no.5
• /
• pp.1217-1224
• /
• 2015

Web application security problems are addressed by the web vulnerability analysis which in turn supports companies to understand those problems and to establish their own solutions. Ministry of Science, ICT and Future Planning (MSIP) has released its guidelines for analysis and assessment of the web vulnerability. Although it is possible to distinguish vulnerability items in a manner suggested in the MSIP's guidelines, MSIP's factors and criteria proposed in the guidelines are neither sufficient nor efficient in analyzing specific vulnerability entries' risks. This study discusses analysis of the domestic and international Vulnerability Scoring system and proposes an appropriate evaluating method for web vulnerability analysis.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.15 no.3
• /
• pp.91-101
• /
• 2005

Although the studies on the analysis and classification of source-level vulnerabilities in operating systems are not direct and positive solutions to the exploits with which the host systems are attacked, It is important in that those studies can give elementary technologies in the development of security mechanisms. But, whereas Linux systems are widely used in Internet and intra-net environments recently, the information on the basic and fundamental vulnerabilities inherent in Linux systems has not been studied enough. In this paper, we propose characteristic classification and correlational analyses on the source-level vulnerabilities in Linux kernel that are opened to the public and listed in the SecurityFocus site for 6 years from 1999 to 2004. This study may contribute to expect the types of attacks, analyze the characteristics of the attacks abusing vulnerabilities, and verify the modules of the kernel that have critical vulnerabilities.

• KIPS Transactions on Software and Data Engineering
• /
• v.5 no.3
• /
• pp.139-144
• /
• 2016

When, Software is developed, Applying development methods considering security, it is generated the problem of additional cost. These additional costs are caused not consider security in many developing organization. Even though, proceeding the developments, considering security, lack of ways to get the cost of handling the vulnerability throughput within the given cost. In this paper, propose a method for calculating the vulnerability throughput for using a security vulnerability processed cost-effectively. In the proposed method focuses on the implementation phase of the software development phase, leveraging static analysis tools to find security vulnerabilities in CWE TOP25. The found vulnerabilities are define risk, transaction costs, risk costs and defines the processing priority. utilizing the information in the CWE, Calculating a consumed cost in a detected vulnerability processed through a defined priority, and controls the vulnerability throughput in the input cost. When applying the method, it is expected to handle the maximum risk of vulnerability in the input cost.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.153-159
• /
• 2003

수많은 정보자산들이 네트워크를 통해 연결된 환경에서 사이버 공격으로부터 정보자산들을 효과적으로 방어하기 위한 기본적인 수단으로 네트워크 침입탐지 시스템과 취약점 분석 시스템이 활용되고 있다. 그러나 네트워크 보안을 위해 개별적으로 운용되고 있는 네트워크 침입탐지 시스템과 취약점 분석 시스템이 보안관리 측면에서 오히려 보안 운용자의 부담을 가중시키는 요인으로 작용하고 있는 것이 현실이다. 따라서, 본 연구에서는 네트워크 보안 관리에 필수적인 정보 요소인 네트워크 자산, 취약점 및 위협이 갖는 의미와 상관성을 분석하고, 네트워크 침입탐지 시스템과 취약점 분석 시스템이 제공하는 정보들을 상호 연동하여 네트워크 침입탐지 시스템이 탐지하는 불필요한 경보정보의 양을 대폭 줄여 Log관리를 최적화할 수 있는 시스템을 구축하기 위한 설계방법을 제시하였다.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.16 no.6
• /
• pp.1217-1222
• /
• 2012

WiBro(Wireless Broadband) service is the world standardized fourth-generation communications in Korea. The services through internet-based applications using WiBro communication-based is increasing. WiBro service in the Internet-based applications when using the service, the application may need to analyze the vulnerability. In this paper, we use the Internet when in WiBro service, to analyze the vulnerability. And, Internet-based applications for vulnerabilities that could lead to hacker attacks is analyzed. It will be studied that security measures through analysis of vulnerability of WiBro services and applications.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2004.05a
• /
• pp.1023-1026
• /
• 2004

최근 소프트웨어 보안취약성 분석의 일환으로 프로그램 소스가 없고 기계어 프로그램만 제공되는 소프트웨어의 보안 취약점을 분석하는 연구가 많이 수행되고 있다. 본 논문에서는 MS 윈도우 2000 운영체제의 IIS 웹서버를 대상으로, WebDAV의 한 버퍼 오버플로우 취약점을 공격하여 취약성을 재현한 후, 디버거 및 역공학 도구를 사용하여 해당 보안 취약점을 가진 코드를 분석하는 방법을 제시하였다. 본 연구 결과는 취약성분석 절차 방법 및 신뢰성 있는 소프트웨어 개발에 기여할 수 있을 것으로 기대된다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2014.11a
• /
• pp.431-434
• /
• 2014

웹서비스 사용이 보편화되면서 웹 애플리케이션의 보안취약점을 악용하는 해커들이 늘어나고 있다. 악의적인 공격으로 인한 피해를 막기 위해 보안을 견고하게 하지만 보안취약점에 의한 피해가 빈번하게 발생하고 있다. 본 논문에서는 이러한 보안취약점 중 SQL Injection 취약점과 NoSQL Injection 취약점을 분석하고, 침투 시험을 통해 사용자의 최소한의 개입만으로 SQL Injection 취약점과 NoSQL Injection 취약점을 자동으로 탐지하는 도구의 설계 방법을 제안한다. 제안한 도구는 SQL Injection 취약점과 NoSQL Injection 취약점을 탐지하기 위한 전문적인 보안 지식을 요구하지 않기 때문에 자동 침투 시험 도구를 사용하면 보안 비전문가도 쉽게 취약점을 탐지할 수 있다.

• Journal of Korea Multimedia Society
• /
• v.14 no.10
• /
• pp.1335-1347
• /
• 2011

The dissemination and use of mobile applications have been rapidly expanding these days. And in such a situation, the security of mobile applications has emerged as a new issue. Although the safety of general software such as desktop and enterprise software is systematically achieved from the development phase to the verification phase through secure coding, there have been not sufficient studies on the safety of mobile applications yet. This paper deals with deriving weakness enumeration specialized in mobile applications and implementing a tool that can automatically analyze the derived weakness. Deriving the weakness enumeration can be achieved based on CWE(Common Weakness Enumeration) and CERT(Computer Emergency Response Team) relating to the event-driven method that is generally used in developing mobile applications. The analysis tool uses the dynamic tests to check whether there are specified vulnerabilities in the source code of mobile applications. Moreover, the derived vulnerability could be used as a guidebook for programmers to develop mobile applications.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.04b
• /
• pp.853-856
• /
• 2002

인터넷이라는 거대한 네트워크에 연결되어 있는 시스템의 보안 상태를 주기적으로 점검하여 외부로부터의 공격에 취약한 부분을 보완하여 주는 일은 공격에 대한 방어를 위하여 가장 기본적인 일이다. 그러나 수많은 호스트가 상호 연결된 네트워크 관리 시스템에서 관리자가 각 시스템의 보안상 취약점을 전부 인지하고 이에 대한 보완을 수행하는 것은 상당히 어려운 일이다. 따라서 관리자의 수작업에 의한 취약점 분석 작업보다는 자동화된 관리 도구에 의한 취약점 분석이 효율적이다. 이에 본 논문에서는 네트워크 서비스인 HTTP, SMTP의 취약점을 원격에서 분석하는 시스템을 설계 및 구현하였다. WAVAMS는 에이전트와 독립된 mobile 코드의 이동에 의한 동적 분석 모듈의 추가로 가장 최근의 취약점을 신속하게 분석 할 수 있으며 확장성이 높다. 또한 웹 기반으로 설계되어 관리자가 용이하게 관리할 수 있다.

• Review of KIISC
• /
• v.33 no.6
• /
• pp.21-36
• /
• 2023

2023년 10월, 공통 취약점 평가체계의 신규 버전이 8년 만에 출시되었다. 공통 취약점 평가체계는 취약점의 심각도 점수 및 특성 정보를 제공하는 시스템으로, 취약점 관리활동의 바로미터로 활용되고 있다. 그러나 기존 공통 취약점 평가체계의 점수는 기반 시설에서의 실제 취약점 악용 가능성과의 불일치 및 운영 환경의 특성을 반영하지 못하는 한계점이 존재한다. 본 연구에서는 미국 등을 비롯한 국외 기반시설의 취약점 정량화 평가체계 선행 연구 및 적용 현황등을 분석하고, 이번에 신규 출시된 공통취약점 평가체계의 주요한 변경사항을 다룬다. 더불어 국내 원자력 시설의 운영 특성을 반영하여 개발되고 있는 취약점 정량화 평가시스템에 대해 소개한다.