• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 춘계학술발표대회
• /
• pp.441-444
• /
• 2014

인터넷의 보급에 따른 신속정확하고 편리한 정보처리의 장점에도 불구하고 최근 들어 급증하고 있는 보안 관련 사고들로 인하여 개인정보 및 기업정보의 관리에 대한 대책 마련이 시급한 가운데 있다. 그 중에서도 SQL 삽입 공격에 의한 악의적인 관리자 권한 획득 및 비정상적인 로그인 등으로 인하여 많은 피해가 발생하고 있다. 현재 SQL Injection에 관련된 대부분의 연구는 공격을 탐지하는 방법에 초점이 맞추어져 있다. 본 논문에서는 프로그램 코드를 분석하여 따옴표가 포함된 취약한 인라인 SQL 쿼리 구문을 찾아서 매개변수화된 쿼리로 변경하는 기능을 제공함으로써 근본적인 해결책을 찾고자 하였으며 Java, C#.net 등 다양한 언어를 지원하여 개발 업무에서의 활용성을 높이고자 하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2010년도 춘계학술대회
• /
• pp.303-306
• /
• 2010

웹사이트를 통한 해커들의 악의적인 웹 취약점 공격으로 개인정보와 개인자산이 유출되고 있다. 일부국가에서는 해커부대가 운용되어, 타 국가의 웹사이트를 통해 기밀정보 및 개인정보를 불법적으로 접근하여 자료를 획득하고 있다. 국내 웹사이트들은 프로그램뿐만 아니라 웹사이트 관리의 문제로 인해 많은 취약점을 갖고 있다. 본 논문에서는 국내뿐만 아니라 전 세계적으로 유행하는 XSS, SQL Injection, Web Shell 공격에 대한 취약점을 분석하고, XSS, SQL Injection, Web Shell 공격을 직접 공격한다. 공격 후에 해킹을 시연한 자료를 수집, 분석을 하여 보안 대응책을 제시한다. 본 연구는 웹사이트 보안과 안전한 웹사이트 관리를 향상 시킬 수 있는 기술연구에 이바지 할 것이다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2015년도 제52차 하계학술대회논문집 23권2호
• /
• pp.77-78
• /
• 2015

본 논문에서는 S/W 개발 보안 지침의 사례로서 SQL 삽입에 대하여 설명한다. SQL 삽입은 입력 데이터 검증 및 표현에서 S/W 취약점 유형의 하나이다. 본 논문에서는 SQL 삽입에서 취약점 설명, 취약점 개념도, 보안 대책, 그리고 코드 예제까지 설명하도록 한다.

• 정보처리학회논문지A
• /
• 제15A권3호
• /
• pp.181-188
• /
• 2008

오늘날 대부분의 웹사이트는 웹 응용 프로그램이 적절한 웹 페이지를 생성하여 전송하는 형태인 동적 웹페이지를 사용하고 있다. 이에 대하여, 취약한 웹 응용 프로그램에 악의적인 문자열을 전달하는 공격의 형태가 증가하고 있다. 본 논문에서는 대표적인 문자열 삽입 공격인 SQL 삽입(SQL Injection) 공격과 크로스 사이트 스크립팅(Cross Site Scripting, XSS) 공격에 대하여 웹 응용 프로그램내의 보안 취약성을 자동으로 찾아 주는 프로그램 정적 분석기를 개발하였다. 요약 해석을 사용한 프로그램 분석을 위하여 가능한 문자열 값을 제외 문자열들과 함께 표현하는 요약 자료 공간과 PHP 언어의 요약된 의미 규칙을 설계하였으며, 이를 기반으로 분석기를 구현하였다. 또한 개발된 분석기가 기존의 연구 결과와 비교하여 경쟁력 있는 분석 속도와 정밀도를 가짐을 실험을 통하여 보였다.

• 한국융합학회논문지
• /
• 제6권4호
• /
• pp.225-234
• /
• 2015

웹 서비스 사용자가 증가하면서 웹 애플리케이션을 공격하는 방법들이 여러 가지 유형들로 나타나면서 웹 애플리케이션 보안에 관한 중요성의 인식도 증가하고 있다. 정보통신기술 발달과 함께 도래한 지식정보사회는 급변하는 사회에서 창의성과 인성 교육에 필요한 웹사이트의 구축이 절실히 요구되고 있다. 본 논문에서는 창의 인성 교육기반의 디지털 큐레이션 시스템에서 제공하는 교육 콘텐츠에 대한 SQL Injection과 XSS에 대한 공격 방법과 취약점을 분석한다. 그리고 SQL Injection과 XSS에 대한 웹 공격에 대응하는 방법을 제시하고자 한다.

• 융합보안논문지
• /
• 제8권4호
• /
• pp.173-181
• /
• 2008

최근 웜에 의한 사이버 위협이 증가함에 따라 웜의 확산 특성을 분석하기 위한 전파 모델이 연구되고 있다. 대표적인 예로 수학적 모델링 기법인 Epidemic(SI), KM(Kermack-MeKendrick), Two-Factor, AAWP(Analytical Active Worm Propagation)등의 모델 기법들이 제시되었다. 하지만, 기존 모델 방법들은 대부분 코드레드와 같은 네트워크를 대상으로 하는 랜덤 스캐닝 기법에 대해서만 모델링이 가능하다. 또한 거시적인 분석만 가능하고 특정 위협에 대해 예측하는데 한계점을 가지고 있다. 따라서 본 논문에서는 과거의 위협 발생 데이터를 근거로 하여 Mass SQL Injection 같은 사이버위협에 적용 가능한 마코브 체인(markov chain) 기반 예측 방법을 제시한다. 이를 통하여 각 위협별 발생 확률 및 발생빈도를 예측할 수 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2007년도 가을 학술발표논문집 Vol.34 No.2 (D)
• /
• pp.82-85
• /
• 2007

본 논문은 웹을 이용한 보안 취약점 점검 도구를 개발한다. 본 논문은 보안 취약점 점검 도구들을 이용하여 웹 상에서 사용자의 컴퓨터 시스템에 대한 점검을 통해서 결과를 보여주는 환경을 개발한다. 개발된 웹 보안 취약점 점검 도구는 쉽게 자신의 서버 컴퓨터의 취약점을 점검할 수 있다. 본 논문에서 구현된 보안 취약점 점검 도구의 기능은 포트 스캔, SQL injection 취약점 점검 기능으로 구성되어 있다. 포트 스캔 취약점 점검 도구의 기능은 열려져 있는 컴퓨터 시스템의 포트 점검을 통하여 불필요하게 열려져 있는 포트를 점검한다. 이런 점검을 통해서 보안 취약점을 사전에 차단한다. SQL injection 기능은 DB에서 SQL 구문의 취약점을 점검한다. 본 논문에서 제안하는 보안 취약점 점검 기능에 대해서 실험을 수행하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2017년도 추계학술대회
• /
• pp.457-461
• /
• 2017

마트, 식당, 도서관 등 우리 주변 많은 곳에서 바코드가 사용되고 있다. 바코드는 주로 ISBN, Code128, Code39 등의 형식이 쓰이는데 그중 Code 128은 ASCII Code를 기반으로 하기 때문에 ASCII Code 0번부터 32번까지의 제어 문자를 바코드에 담을 수 있다. 제어 문자는 본래 프린터 또는 통신 접속구 등 주변 장치에 정보를 전달하기 위하여 사용되는 문자를 뜻하지만 Windows상에서 입력될 시 전혀 다른 역할을 한다. 주로 바코드 기기에서 입력 값을 검증하지 않으므로 이를 이용해 제어 문자를 담은 바코드를 태깅해 명령 프롬포트를 열고 명령을 실행할 수 있다. 또한 대부분의 바코드 인식 프로그램이 DB를 사용하고, 보안이 다른 프로그램들에 비해 취약하다는 점에서 SQL Injection 공격 가능성을 제시한다.

• Journal of Information Processing Systems
• /
• 제6권4호
• /
• pp.563-574
• /
• 2010

The growing number of web applications in the global economy has made it critically important to develop secure and reliable software to support the economy's increasing dependence on web-based systems. We propose an intercepting filter approach to mitigate the risk of injection flaw exploitation- one of the most dangerous methods of attacking web applications. The proposed approach can be implemented in Java or .NET environments following the intercepting filter design pattern. This paper provides examples to illustrate the proposed approach.

• International Journal of Internet, Broadcasting and Communication
• /
• 제15권3호
• /
• pp.149-159
• /
• 2023

Web application security education that can provide practical experience is needed to reduce damage caused by the recent increase in web application vulnerabilities and to strengthen security. In this paper, we proposed a scenario-based web application education method, applied the proposed method to classes, and analyzed the results. In order to increase the effectiveness of scenario-based education, a real-life practice environment to perform scenarios and instructions to be performed by learners are needed. As an example of the proposed method, instructions to be performed by learners from the viewpoint of the attacker and the victim were shown in a practice environment to teach XSS and SQL injection vulnerabilities. After applying the proposed method to the class for students majoring in cyber security, when the lecture evaluation results were analyzed, it was shown that the learner's interest, understanding, and major ability all improved.