• 제목/요약/키워드: Web Hacking

검색결과 78건 처리시간 0.019초

웹 기반의 보안 취약점 분석과 대응방안 (Analysis and response of Petya to Ransomware)

  • 김선용;김기환;이훈재
    • 한국정보통신학회:학술대회논문집
    • /
    • 한국정보통신학회 2017년도 추계학술대회
    • /
    • pp.480-482
    • /
    • 2017
  • 전 세계에서 웹이 대중화되면서 서로 간에 쉽게 정보를 제공할 수 있어 개인 간에 혹은 회사 간에 정보 공유가 수월해진 장점이 있지만 개인에게 중요한 정보나, 회사의 보안 문서를 노출당하는 경우가 많이 발생하고 있다. 본 논문에서는 웹에서 어떠한 취약점으로 인해서 해킹이 발생하는지와 취약점을 어떻게 대응할 것인지에 대한 방안을 제시할 것이다.

  • PDF

Web컨텐츠 보호를 위한 PMI 기반의 해킹방지 sDBMS (sDBMS for Hacking Prevention Based on PMI for Web Contents Protection)

  • 유두구;전문석
    • 한국컴퓨터산업학회논문지
    • /
    • 제5권8호
    • /
    • pp.829-840
    • /
    • 2004
  • 웹 환경의 비즈니스 모델은 대부분 디지털 데이터의 제공으로 이루어진다. 사용자와 서비스 제공자 사이의 정보 교환은 암호화괸 데이터로 이루어져야 한다. 암호화된 데이터는 해킹으로부터 안전하다. DB 암호와 기술의 적용은 컨텐츠를 보호하는 주요한 기술이다. 본 논문에서 DB 암호화는 접근제어 기술을 적용하여 비인가자에 의한 컨텐츠 이용을 방지하였다. 본 논문에서는 PMI 기반의 역할기반접근제어와 전자서명을 이용한 새로운 DB 암호화 메커니즘을 제안하고 구현하였다.

  • PDF

Web 환경에서 컨텐츠 보호를 위한 PMI 기반의 해킹방지 sDBMS (sDBMS for Hacking Prevention on Based PMI for Contents Protection in Web Environment)

  • 유두규;김영철;전문석
    • 한국멀티미디어학회논문지
    • /
    • 제8권5호
    • /
    • pp.679-690
    • /
    • 2005
  • 웹 환경의 비즈니스 모델은 대부분 멀티미디어 데이터의 제공으로 이루어진다. 암호화된 데이터는 해킹으로부터 안전하므로, 사용자와 서비스 제공자 사이의 정보 교환은 암호화된 데이터로 이루어져야 한다. DB 암호와 기술의 적용은 컨텐츠를 보호하는 주요한 기술이다 본 논문에서 DB 암호화는 접근제어 기술을 적용하여 비인가자에 의한 컨텐츠 이용을 방지하였다. 본 논문은 PMI 기반의 역할기반접근제어와 전자서명을 이용한 새로운 DB 암호화 메커니즘을 제안하고 구현하였다.

  • PDF

컨텐츠 보안 침입 탐지 시스템 설계 및 구현 (Design and Implimentation of Intrusion Detection System on Contents Security)

  • 김영선;서춘원
    • 전자공학회논문지
    • /
    • 제52권11호
    • /
    • pp.164-168
    • /
    • 2015
  • 인터넷 사용이 보편화되면서 웹을 통한 광고, 사이버 쇼핑, 인터넷 뱅킹 등 다양한 서비스가 네트워크를 이용하여 제공되면서 웹 보안에 대한 필요성이 증가하고 있다. 또한, 시스템을 다양한 유형의 해킹 위협과 외부의 불법적인 침입으로부터 정보자산의 보호를 위한 보안시스템을 요구하게 된다. 본 논문의 웹 침입 탐지 도구는 웹에 대한 개별적인 모니터링을 통해 소요되는 자원 및 인력의 손실을 방지할 수 있도록 하여 보안 수준을 향상시켜는 것이다. 웹 보안 시스템은 웹 환경에서의 보안 취약성과 정보 노출에 대한 문제점의 원인을 분석하고 보안의 빠른 지원을 결정하기 위해서 모니터링을 이용하여 정보 보안 취약성과 정보 노출을 보호할 목적으로 보안 시스템을 설계하고자 한다.

Safe Web Using Scrapable Headless Browser in Network Separation Environment

  • Jung, Won-chi;Park, Jeonghun;Park, Namje
    • 한국컴퓨터정보학회논문지
    • /
    • 제24권8호
    • /
    • pp.77-85
    • /
    • 2019
  • In this paper, we propose a "Safe Web Using Scrapable Headless Browse" Because in a network separation environment for security, It does not allow the Internet. The reason is to physically block malicious code. Many accidents occurred, including the 3.20 hacking incident, personal information leakage at credit card companies, and the leakage of personal information at "Interpark"(Internet shopping mall). As a result, the separation of the network separate the Internet network from the internal network, that was made mandatory for public institutions, and the policy-introduction institution for network separation was expanded to the government, local governments and the financial sector. In terms of information security, network separation is an effective defense system. Because building a network that is not attacked from the outside, internal information can be kept safe. therefore, "the separation of the network" is inefficient. because it is important to use the Internet's information to search for it and to use it as data directly inside. Using a capture method using a Headless Web browser can solve these conflicting problems. We would like to suggest a way to protect both safety and efficiency.

웹 서비스 보안 성능 평가 테스트 방법론 연구 (A Study on Web Service Security Testing Methodology for Performance Evaluation)

  • 이동휘;하옥현
    • 융합보안논문지
    • /
    • 제10권4호
    • /
    • pp.31-37
    • /
    • 2010
  • IT에서 보안은 위험 및 위협으로부터 시스템을 보호하고, 피해를 방지하며 Risk를 최소화해야한다. 이와 같은 맥락으로 정보보안 제품의 정보가 처리, 저장, 전달되는 과정에서 정보와 시스템의 보안기준, 즉 기본적인 기밀성, 가용성, 무결성과 부차적인 명확성, 증명가능성, 감지, 경보 및 방어능력 등이 충분히 보장될 수 있도록 하여야 한다. 웹 서비스에서 보안은 가장 중요한 요소이며, 웹 특성상 서비스를 위해 80번 포트 같은 통로를 열어놔야 하는 구조로서, 웹 어플리케이션, 웹 소스 및 서버, 네트워크 모든 요소가 근본적인 취약점을 안고 있다. 이에 따라 이런 요소를 통해 웹 프로그램의 설정오류나 개발 오류 및 웹 애플리케이션 자체의 취약점을 이용한 홈페이지 와 웹 서버 해킹을 방지하며, 효율성을 높이는 웹서비스 보안 BMT 수행 방법론을 제시하고자 한다.

이용자 인증정보 재사용 방지를 위한 연구 : 전자서명을 중심으로 (Study on The Prevention of User Authentication Information Reuse : Focusing on Electronic-Signature)

  • 우기준;김동국
    • 한국컴퓨터정보학회:학술대회논문집
    • /
    • 한국컴퓨터정보학회 2019년도 제59차 동계학술대회논문집 27권1호
    • /
    • pp.361-363
    • /
    • 2019
  • 인터넷환경에서 금융회사는 홈페이지 사용자의 신원확인, 부인방지 등의 목적으로 공개키 기반구조(PKI: Public Key Infrastructure) 환경의 공인인증서를 홈페이지 로그인, 전자금융거래 등의 업무에 적용하고 있다. 사용자의 공인인증서를 이용하여 생성된 전자서명이 악성코드 감염 등으로 인하여 유출 시 사용자가 과거에 서명했던 전자서명이 재사용(로그인, 전자금융거래 등)될 수 있는 취약점이 존재하기에 인터넷 상에서의 전자서명 재사용에 대한 원인, 방지 절차 및 방법을 제안 하고자 한다.

  • PDF

분류 알고리즘 기반 URL 이상 탐지 모델 연구 제안 (A Study proposal for URL anomaly detection model based on classification algorithm)

  • 김현우;김홍기;이동휘
    • 융합보안논문지
    • /
    • 제23권5호
    • /
    • pp.101-106
    • /
    • 2023
  • 최근 사이버 공격은 지능적이고 지속적인 피싱사이트와 악성코드를 활용한 해킹 기법을 활용하는 사회공학적 공격이 증가하고 있다. 개인 보안이 중요해지는 만큼 웹 어플리케이션을 이용해 악성 URL 여부를 판별하는 방법과 솔루션이 요구되고 있다. 본 논문은 악성 URL를 탐지하는 정확도가 높은 기법들을 비교하여 각각의 특징과 한계를 알아가고자 한다. 웹 평판 DB 등 기반 URL 탐지 사이트와 특징을 활용한 분류알고리즘 모델과 비교하여 효율적인 URL 이상탐지 기법을 제안하고자 한다.

SIEM과 OWASP-ZAP및ANGRY-IP취약점분석모듈과 연동구현 (SIEM OWASP-ZAP and ANGRY-IP Vulnerability Analysis Module and Interlocking)

  • 윤종문
    • 융합보안논문지
    • /
    • 제19권2호
    • /
    • pp.83-89
    • /
    • 2019
  • 정보보안 컴플라이언스 및 보안규정에 의거 분기 및 정기적 형태의 네트웍 시스템 대상 취약점 점검은 사이버침해공격대응을 위해 상시 실시간 개념으로 발전시킬 필요성이 대두 된다. 이를 위해 상시 운용 관리 체계인 ESM/SIEM을 기반으로 공개된 취약점분석 점검TOOL과의 연동구현 으로 개념 검증 시 새로운 해킹공격대응 방안이 될 것으로 판단된다. 취약점점검모듈은 표준화된 이벤트 속성 관리와 운용의 편이성 취약점데이터의 글로벌 공유측면에서 공개SW Module인 owasp zap/Angry ip등을 SIEM 체계에 해당취약점모듈과의 연동 설계 구현방식으로 연구 검토 결과 web 및 network 대상 해당 취약점 모듈에 의해 점검이벤트가 SIEM 콘솔로 전송 모니터 되는 것으로 입증 되었다. 현재 사이버 관제실에서 운용중인 ESM 및 SIEM 시스템을 기반으로 해당 개념을 최적화 적용 운용할시 상용 취약점 툴 구매 비용문제와 패턴 및 버전관리에 대한 한계성 등을 고려할시 본연구가 효율적 측면으로 검토됨과 동시에 현 정보보안 컨설턴트에 의한 취약점분석결과 와 본 연구 사안으로 결과 등에 대해 상호 비교 분석 운용할시 사이버 침해공격에 대한 발전적인 개념으로 판단되므로 이에 대한 관련 사안에 대해 논고하고자 한다.

제어시스템의 웹 취약점에 대한 현황과 연구 (A Study on ICS/SCADA System Web Vulnerability)

  • 김희현;유진호
    • 한국전자거래학회지
    • /
    • 제24권2호
    • /
    • pp.15-27
    • /
    • 2019
  • 과거의 제어 시스템은 외부 네트워크와 연결되지 않은 폐쇄망이라 그 자체로 보안성을 보장 받을 수 있었으나 최근에는 관리의 편이성 등을 위해 외부로 연결시켜 놓은 사례가 많으며, 폐쇄망이라고 주장을 하나 어느 한 접점은 인터넷과 연결되어 있어 운영 중인 제어시스템이 점점 늘어나는 추세이다. 이에 따라 외부 연결로 인해 해커들이 제어시스템을 목표로 다양한 공격 시도를 할 수 있게 되었으며 다양한 보안 위협에 노출되어 공격의 타겟이 되고 있는 실정은 당연한 것이다. 외부에 연결되어 있는 산업제어시스템은 웹서비스 또는 원격 관리를 위한 원격관리 포트가 대부분 연결되어 있으며 웹 프로그램을 통한 웹 서비스의 확대는 제어시스템도 예외는 아니므로 일반적인 웹 취약점을 그대로 상속하고 있다. 본 연구에서는 공격자 입장에서 제어시스템을 대상으로 가장 많이 시도되는 웹 해킹 공격을 도출하기 위해 기존의 웹 취약점 항목을 분류 및 비교하였으며 이를 통해 제어시스템 필수 웹 취약점을 선별하였으며 또한 누락된 취약점이 있는지 검토하고 확인하고 자 하였다.