• Journal of Korea Multimedia Society
• /
• v.17 no.6
• /
• pp.706-715
• /
• 2014

It is used to lead to serious structural vulnerability of the system security of security-critical system when we have quickly developed software system according to urgent release schedule without appropriate security planning, management, and assurance processes. The Data Set and Provider of DataSnap, which is a middleware of Delphi XE2 of the Embarcadero Technologies Co., certainly help to develop an easy and fast-paced procedure, but it is difficult to apply security program and vulnerable to control software system security when the connection structure Database-DataSnap server-SQL Connection-SQL Data set-Provider is applied. This is due to that all kinds of information of Provider are exposed on the moment when DataSnap Server Port is sure to malicious attackers. This exposure becomes a window capable of running SQL Command. Thus, it should not be used Data Set and Provider in the DataSnap Server in consideration of all aspects of security management. In this paper, we study on the verification of the security vulnerabilities for Client and Server DataSnap in Dlephi XE2, and we propose a secure coding method to improve security vulnerability in the DataSnap server system.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.29 no.5
• /
• pp.973-983
• /
• 2019

The importance of information security has been increasingly emphasized at the national, organizational, and individual levels due to the widespread adoption of software applications. High-safety software, which includes embedded software, should run without errors, similar to software used in the airline and nuclear energy sectors. Software development techniques in the above sectors are now being used to improve software security in other fields. Secure coding, in particular, is a concept encompassing defensive programming and is capable of improving software security. In this paper, we propose a software security vulnerability detection method using an improved coding standard searching technique. Public static analysis tools were used to assess software security and to classify the commands that induce vulnerability. Software security can be enhanced by detecting Application Programming Interfaces (APIs) and patterns that can induce vulnerability.

• Review of Korea Contents Association
• /
• v.11 no.4
• /
• pp.56-60
• /
• 2013

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• v.9 no.3
• /
• pp.1193-1209
• /
• 2015

Network coding is promising to maximize network throughput and improve the resilience to random network failures in various networking systems. In this paper, the problem of providing efficient confidentiality for practical network coding system against a global eavesdropper (with full eavesdropping capabilities to the network) is considered. By exploiting a novel combination between the construction technique of systematic Maximum Distance Separable (MDS) erasure coding and traditional cryptographic approach, two efficient schemes are proposed that can achieve the maximum possible rate and minimum encryption overhead respectively on top of any communication network or underlying linear network code. Every generation is first subjected to an encoding by a particular matrix generated by two (or three) Vandermonde matrices, and then parts of coded vectors (or secret symbols) are encrypted before transmitting. The proposed schemes are characterized by tunable and measurable degrees of security and also shown to be of low overhead in computation and bandwidth.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.10a
• /
• pp.279-280
• /
• 2016

Internet of Things 시대의 등장과 디바이스의 발달로 소프트웨어가 다양한 분야에서 활용 되면서, 소프트웨어의 자체 취약점을 이용한 공격 시도가 증가하고 있다. 이에 따라, 안전행정부에서는 소프트웨어 개발 사업 분야에 시큐어코딩을 의무화 하였으며, 그 결과로 다양한 시큐어코딩 프로그램이 활용되고 있다. 하지만 기존 시큐어코딩 프로그램의 경우 이력관리나 CMS 연동 과정에서 다양한 문제를 야기 시키고 있으며, 성능적으로도 한계점을 가지고 있다. 따라서, 본 논문에서는 형상관리 시스템과 CMS 연동, 유사도 분석 적용과 실시간 업데이트 등을 적용하는 시큐어코딩 시스템 설계 방법을 제안하였다. 제안하는 설계 기법을 시큐어코딩 시스템에 적용한다면 시큐어코딩 시스템 성능 향상을 물론 다양한 보안위협에 대응 가능할 것으로 기대된다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.10a
• /
• pp.281-282
• /
• 2016

최근 사물인터넷(IoT)이 도래함에 따라 IT 산업을 중심으로 소프트웨어의 활용 용도가 컴퓨터 뿐 아니라, 의료, 교육, 금융, 자동차, 에너지 등 다양한 분야에서 활용되고 있다. 이처럼 소프트웨어 활용 분야가 본격적으로 확산됨에 따라 소프트웨어 보안 취약점을 이용한 공격위험 또한 증가하고 있으며, 이에 따라 시큐어코딩의 중요성이 부각되고 있다. 본 논문에서는 기존 시큐어코딩 관리 시스템 환경에서 효율적인 시큐어코딩 관리를 위해 운영서버와 Program Server를 이용한 시큐어코딩 관리 시스템 향상 방안을 제안한다. 제안하는 시스템을 시큐어코딩 프로그램에 적용한다면, 시큐어코딩 프로그램 성능향상과 효율적인 시큐어코딩 시스템 관리에 도움이 될 것으로 기대된다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2010.06b
• /
• pp.73-76
• /
• 2010

소프트웨어에 잠재하고 있는 프로그래밍 오류는 소프트웨어 취약점을 야기한다. 개발자는 이런 오류를 간과하기 쉬워 공격자에 의해 위협을 받는 시스템을 개발할 가능성이 높다. 또한 이런 오류는 공격자들에 의해 발견되기 쉽고, 악용되기 쉽다는 특징 때문에 위험하다. 개발 후, 테스팅을 통해 모든 오류를 발견하는 것은 불가능하기 때문에 개발단계에서 이런 오류를 사전에 예방해야 한다. 본 논문에서는 이와 같은 프로그래밍 오류로 인해 나타나는 취약성을 사전에 줄이고자하는 시큐어 코딩(secure coding)과 입력유효성 검사를 간략하게 소개하고, 사례연구를 통해 악의적인 입력으로 인해 취약성을 유발할 수 있는 프로그래밍 오류를 확인하고, 이를 사전에 예방할 수 있는 입력유효성 기법을 제시한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.11a
• /
• pp.644-647
• /
• 2013

인터넷과 정보기술의 발전으로 정보시스템들이 보편화 되고, 편리함을 제공하고 있다. 반면에 시스템은 더욱 복잡해지고, 프라이버시 침해, 개인정보 수집 등 사이버공격은 계속적으로 증가하고 있으며 이로 인한 피해가 심각하다. 사이버 공격을 예방하기 위해서는 정보시스템 제품출시 이전 단계에서 제품의 보안 취약점을 제거하는 것이 중요하다. 따라서 개발단계부터 보안을 고려한 소프트웨어를 개발하는 것은 향후 발생 가능한 보안취약점을 예방하고 피해를 최소화 하여 보다 안전한 소프트웨어를 개발하는 근본적인 해결책이 된다. 본 논문에서는 소프트웨어 개발과정에서 발생할 수 있는 보안약점을 최소화 하여 안전한 소프트웨어를 개발하기 위한 시큐어 코딩(secure coding)과 입력 데이터 값(문자열)을 정규화 함으로써 크로스 사이트 스크립팅(XSS)의 공격을 사전에 예방할 수 있는 방법을 제시한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2010.11a
• /
• pp.1101-1103
• /
• 2010

과거 인터넷을 사용하지 않는 시스템의 경우 소프트웨어의 안전성과 강건성은 철도, 국방, 우주, 항공, 원자력 등 오류 없이 수행되어야 하는 임베디드 소프트웨어에 국한되어 있었다. 그러나 인터넷의 발전으로 인터넷을 통한 정보의 교류 및 서비스가 증대하면서 소프트웨어의 보안품질은 개인, 사회, 국가 모두에게 정보보호의 중요성을 더욱 강조하고 있다. 특히 오류 없이 수행되어야 하는 고안전성 소프트웨어의 개발 기법은 이제 응용 소프트웨어의 보안강화 활동에 활용 되고 있다. 시큐어 코딩 (Secure Coding)은 방어적 프로그램(Defensive Programming)을 포함하는 개념으로 소프트웨어의 안전성과 보안성을 향상 시킬 수 있다. 본 논문에서는 C 언어의 취약가능성 유발 명령어를 예를 들고 시큐어 코딩 기법을 적용하여 취약한 코드를 개선하였다. 이러한 개선을 통해 보안 취약성 유발 가능한 코드 부분을 손쉽게 수정하여 소프트웨어 보안품질을 개선할 수 있다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.439-441
• /
• 2002

Real-time Transport Protocol (RTP) is widely used in VoIP stacks charging the multimedia data delivery. Concerning with payload protection of RTP packets, Secure RTP has been discussed in IETF AVT group to provide confidentiality and authentication features using block ciphering and message authentication coding. However, Secure RTP only concentrates on payload protection. Signcryption is a good candidate for key agreement. This paper proposes a key establishment protocol using Signcryption and shows example implementation of a secure VoIP application based on Secure RTP with the proposed scheme.