• International journal of advanced smart convergence
• /
• 제10권4호
• /
• pp.22-29
• /
• 2021

For web application vulnerability diagnosis, from the development stage to the operation stage, it is possible to stably operate the web only when there is a policy that is commonly applied to each task through diagnosis of vulnerabilities, removal of vulnerabilities, and rapid recovery from web page damage. KISA presents 28 evaluation items for technical vulnerability analysis of major information and communication infrastructure. In this paper, we diagnose the vulnerabilities in the automobile goods shopping mall website and suggest security measures according to the vulnerabilities. As a result of diagnosing 28 items, major vulnerabilities were found in three items: cross-site scripting, cross-site request tampering, and insufficient session expiration. Cookie values were exposed on the bulletin board, and personal information was exposed in the parameter values related to passwords when personal information was edited. Also, since the session end time is not set, it was confirmed that session reuse is always possible. By suggesting security measures according to these vulnerabilities, the discovered security threats were eliminated, and it was possible to prevent breaches in web applications and secure the stability of web services.

• 융합보안논문지
• /
• 제12권3호
• /
• pp.85-92
• /
• 2012

기존의 보안 관리 수준을 측정하기 위한 방법들이 다양하지만 IT 자산을 중심으로 한 평가만이 이루어지고 있는 관계로 조직 전반에 걸친 분석이 이루어지지 못했다. 따라서 본 논문에서는 보안 관리 수준 점검을 손쉽게 할 수 있도록 웹 기반 보안 관리 수준 분석 도구에 대해 제시한다. 본 도구의 경우는 전사적 정보 보호 관리 방법론인 ISO 27001의 보안통제 항목들을 기반으로 설문 내용을 구성하였다.

• 융합보안논문지
• /
• 제15권4호
• /
• pp.3-9
• /
• 2015

웹 서비스를 가능하게 하는 웹 어플리케이션은 내부 개발자가 보안 의식을 갖고 만든다면 일정 수준 이상의 안전성을 보여준다. 하지만 외주 개발의 경우, 품질의 우수성보다는 요구 사항을 충족하고 요청 받은 기능을 실행시키는데 주안점이 있기 때문에 안전성이 우선되지 못한다. 따라서, 본 논문에서는 소프트웨어에 대한 객관적이고도 독립적인 시각으로의 평가를 가능하게 해주는 소프트웨어 테스트 절차를 보안 중심으로 개선하였다. 제안된 모델은 웹 어플리케이션의 외주 개발 시에도 초기부터 보안을 고려할 수 있게 해주며, 특히 보안 인식이 부족한 상황에서 작성된 프로그램의 수정 소요 발생으로 인한 개발 일정 지연 사태를 미연에 방지할 수 있는 효과가 있음을 확인하였다. 이러한 결과는 자원관리체계를 중심으로 웹 어플리케이션에 대한 소요가 증가하고 있는 국방 분야에서도 엄격한 테스트를 토대로 보안 취약점을 지닌 채 서비스되는 것을 방지할 수 있기에 활용이 가능할 것으로 판단된다.

• 한국정보통신학회논문지
• /
• 제19권5호
• /
• pp.1117-1124
• /
• 2015

본 논문은 BYOD(Bring Your Own Device)를 포함한 모바일 웹 환경을 위한 웹 세션 관리 시스템에 대해서 기술한다. 이 시스템은 보안이 강화된 세션 토큰으로 운영되며, 고유 식별자, time stamp, 암호 알고리즘으로 구성된다. 시스템에서 고유 식발자는 BYOD를 포함한 모바일 환경에서 보안을 위하여 각 단말기를 구분한다. 시스템에서 time stamp는 BYOD를 포함한 모바일 환경에서 보안을 위하여 세션 유효성을 판단한다. 시스템에서 암호 알고리즘은 세션 토큰의 내부 정보를 보호한다. 본 논문은 시뮬레이션 기법을 사용해서 모바일 웹 상에서 세션 관리 시스템의 보안성을 분석한다. 제시된 방법은 기존 방법에 비하여 BYOD 환경의 모바일 웹 보안에 있어서 더 적합하다.

• 정보보호학회논문지
• /
• 제29권2호
• /
• pp.275-285
• /
• 2019

웹 어셈블리는 웹 브라우저 자바스크립트의 성능 향상을 위해 설계된 새로운 바이너리 표준이다. 웹 어셈블리는 효율적인 실행 및 간결한 표현과 여러 언어를 바탕으로 작성된 코드를 네이티브에 가까운 속도로 구동될 수 있는 새로운 웹 표준으로 자리 잡고 있다. 하지만 현재 웹 어셈블리 취약성 검증은 웹 어셈블리 인터프리터 언어에 제한되어 있으며, 웹 어셈블리 바이너리 자체에 대한 취약성 검증은 부족한 상황이다. 따라서 웹 어셈블리의 자체적인 안전성 검증이 필요한 실정이다. 본 논문에서는 먼저 웹 어셈블리의 구동 방식과 현재 웹 어셈블리의 안전성 검증 방법에 대해서 분석한다. 또한 기존에 발생하였던 웹 어셈블리 안전성 검증 방식에 대해 살펴보고, 이에 따른 기존 안전성 검증 방식의 한계점을 분석한다. 최종적으로 기존 안전성 검증 방법의 한계점을 극복하기 위한 웹 어셈블리 API 기반 퍼징 방법을 소개한다. 이는 기존 안전성 검증 도구로 탐지할 수 없었던 크래시를 탐지함으로써 제안하는 퍼징의 효용성을 검증한다.

• 인터넷정보학회논문지
• /
• 제18권5호
• /
• pp.113-121
• /
• 2017

Company A's core competency is IT internet security services. The Web diagnosis team analyzes the vulnerability of customer's internet web servers and provides remedy reports. Traditionally, Company A management has utilized a simple table format report for resource planning. But these reports do not notify the timing of human resource commitment. So, upper management asked its team leader to organize a task team and design a visual dashboard for decision making with the help of outside professional. The Task team selected the web security diagnosis practice process as a pilot and designed a dashboard for performance evaluation. A structural design process was implemented during the heuristic working process. Some KPI (key performance indicators) for checking the productivity of internet web security vulnerability reporting are recommended with the calculation logics. This paper will contribute for security service management to plan and address KPI design policy, target process selection, and KPI calculation logics with actual sample data.

• 융합보안논문지
• /
• 제10권4호
• /
• pp.31-37
• /
• 2010

IT에서 보안은 위험 및 위협으로부터 시스템을 보호하고, 피해를 방지하며 Risk를 최소화해야한다. 이와 같은 맥락으로 정보보안 제품의 정보가 처리, 저장, 전달되는 과정에서 정보와 시스템의 보안기준, 즉 기본적인 기밀성, 가용성, 무결성과 부차적인 명확성, 증명가능성, 감지, 경보 및 방어능력 등이 충분히 보장될 수 있도록 하여야 한다. 웹 서비스에서 보안은 가장 중요한 요소이며, 웹 특성상 서비스를 위해 80번 포트 같은 통로를 열어놔야 하는 구조로서, 웹 어플리케이션, 웹 소스 및 서버, 네트워크 모든 요소가 근본적인 취약점을 안고 있다. 이에 따라 이런 요소를 통해 웹 프로그램의 설정오류나 개발 오류 및 웹 애플리케이션 자체의 취약점을 이용한 홈페이지 와 웹 서버 해킹을 방지하며, 효율성을 높이는 웹서비스 보안 BMT 수행 방법론을 제시하고자 한다.

• 정보보호학회논문지
• /
• 제30권1호
• /
• pp.59-74
• /
• 2020

웹 애플리케이션이 동작하는 웹 공간은 공개된 HTML로 인하여 공격자와 방어자의 사이버 정보전쟁터이다. 사이버 공격 공간에서 웹 애플리케이션과 소프트웨어 취약성을 이용한 공격이 전 세계적으로 약 84%이다. 웹 방화벽 등의 보안제품으로 웹 취약성 공격을 탐지하기가 매우 어렵고, 웹 애플리케이션과 소프트웨어의 보안 검증과 보증에 많은 인건비가 필요하다. 따라서 자동화된 소프트웨어에 의한 웹 스페이스에서의 신속한 취약성 탐지와 대응이 핵심적이고 효율적인 사이버 공격 방어 전략이다. 본 논문에서는 웹 애플리케이션과 소프트웨어에 대한 보안 위협을 집중적으로 분석하여 보안위험 관리 모델을 수립하고, 이를 기반으로 효과적인 웹 및 애플리케이션 취약성 진단 방안을 제시한다. 실제 상용 서비스에 적용한 결과를 분석하여 기존의 다른 방식들보다 더 효과적임을 증명한다.

• Journal of Information Processing Systems
• /
• 제11권2호
• /
• pp.229-238
• /
• 2015

Web shells are programs that are written for a specific purpose in Web scripting languages, such as PHP, ASP, ASP.NET, JSP, PERL-CGI, etc. Web shells provide a means to communicate with the server's operating system via the interpreter of the web scripting languages. Hence, web shells can execute OS specific commands over HTTP. Usually, web attacks by malicious users are made by uploading one of these web shells to compromise the target web servers. Though there have been several approaches to detect such malicious web shells, no standard dataset has been built to compare various web shell detection techniques. In this paper, we present a collection of web shell files, WebSHArk 1.0, as a standard dataset for current and future studies in malicious web shell detection. To provide baseline results for future studies and for the improvement of current tools, we also present some benchmark results by scanning the WebSHArk dataset directory with three web shell scanning tools that are publicly available on the Internet. The WebSHArk 1.0 dataset is only available upon request via email to one of the authors, due to security and legal issues.

• 한국멀티미디어학회논문지
• /
• 제18권2호
• /
• pp.199-206
• /
• 2015

Since security vulnerabilities newly discovered in a popular Web browser immediately put a number of users at risk, urgent attention from developers is required to address those vulnerabilities. Analysis of characteristics in the Web browser vulnerabilities can be used to assess security risks and to determine the resources needed to develop patches quickly to handle vulnerabilities discovered. So far, being a new research area, the quantitative aspects of the Web browser vulnerabilities and risk assessments have not been fully investigated. However, due to the importance of Web browser software systems, further detailed studies are required related to the Web browser risk assessment, using rigorous analysis of actual data which can assist decision makers to maximize the returns on their security related efforts. In this paper, quantitative software vulnerability analysis has been presented for major Web browsers with respect to the Common Vulnerability Scoring System. Further, vulnerability discovery trends in the Web browsers are also investigated. The results show that, almost all the time, vulnerabilities are compromised from remote networks with no authentication required systems. It is also found that a vulnerability discovery model which was originally introduced for operating systems is also applicable to the Web browsers.