• 소프트웨어공학소사이어티 논문지
• /
• 제28권1호
• /
• pp.13-22
• /
• 2019

경쟁적이며 급진적으로 오늘날 소프트웨어 개발 산업 현장에 시큐어 코딩 방법론을 효과적으로 적용하기 위해서는 보안 취약점 결함을 자동으로 검출하는 결함 검출기의 효과적이고 효율적인 적용이 필수적이다. 본 논문은 Java 웹 어플리케이션을 대상으로 하여 우리 행정안전부가 정의한 42개의 보안 취약점 진단 기준과 총 323개의 오픈소스 보안 취약점 결함 검출기의 검출 대상 결함 패턴을 비교하여, 동일한 결함 패턴을 대상으로 하는 것이 무엇인지를 명시화한 결과를 소개한다. 조사 결과를 바탕으로, 본 논문에서는 현재 행정안전부 보안 취약점 진단 기준 방법론의 한계점, 오픈소스 보안 결함 검출 프레임워크 간의 결함검출 범위의 비교, 그리고 시큐어 코딩 가이드라인에 기반 한 개발 보안 방법론의 발전 과제를 논의한다.

• 한국정보과학회논문지:정보통신
• /
• 제30권1호
• /
• pp.97-116
• /
• 2003

최근 웹 서비스의 증가와 한께 엘 서비스에 대한 공격과 피 피해 규모는 증가하고 있다. 그러나 웹 서비스에 대한 공격은 다른 인터넷 공격들과 성격이 다르고 그에 대한 연구 또한 부족한 현실이다. 더욱이 기존의 침입 탐지 시스템들도 낄 서비스를 보호하는데 적합하지 않다. 이 연구에서는 먼저 웹 공격들을 공격 발생 원인과 공격 탐지 관점에서 분류하고, 마지막으로 위험성 분석을 통하여 웹 공격들을 분류하였다. 이를 통해 엘 서비스를 보호하기 적합한 웹 서비스 특화된 침입 탐지 시스템을 설계, 개발하는데 도움을 주고자 한다.

• 한국컴퓨터정보학회논문지
• /
• 제12권1호
• /
• pp.161-168
• /
• 2007

웹에 대한 공격은 웹 서버 자체의 취약점 보다 웹 어플리케이션의 구조, 논리, 코딩상의 오류를 이용한다. OWASP에서 웹 어플리케이션 취약점을 10가지로 분류하여 발표한 자료에 의하면 웹 해킹의 위험성과 피해가 심각함을 잘 알 수 있다. 이에 따라 웹 해킹에 대한 탐지능력 및 대응이 절실히 요구된다. 이러한 웹 공격을 방어하기 위해 패턴 매칭을 이용한 필터링을 수행하거나 코드를 수정하는 방법이 있을 수 있지만 새로운 공격에 대해서는 탐지 및 방어가 어렵다. 또한 침입탐지시스템이나 웹 방화벽과 같은 단위보안 제품을 도입할 수 있지만 운영과 지속적인 유지를 위해서는 많은 비용과 노력이 요구되며 많은 탐지의 오류를 발생한다. 본 연구에서는 웹 어플리케이션의 구조와 파라미터 입력 값에 대한 타입, 길이와 같은 특성 값들을 추출하는 프로파일링 기법을 이용하여 사전에 웹 어플리케이션 구조 데이터베이스를 구축함으로서 사용자 입력 값 검증의 부재에 대한 해결과 비정상적인 요청에 대해 데이터베이스의 프로파일 식별자를 이용하여 검증하고 공격 탐지가 가능하다. 통합보안관리시스템은 현재 대부분 조직에서 도입하여 운영하고 있으며 일반화 되어있다. 그래서 통합보안관리시스템의 보안 감사 로그 수집 에이전트에 웹 어플리케이션 공격 탐지 기능을 추가한 모델을 제시함으로서 추가 단위보안제품을 도입하지 않고서도 웹 어플리케이션 공격을 탐지할 수 있도록 하였다.

• 디지털산업정보학회논문지
• /
• 제11권4호
• /
• pp.81-87
• /
• 2015

Recently, with the development of the ICT environment, the use of the software is growing rapidly. And the number of the web server software used with a variety of users is also growing. However, There are also various damage cases increased due to a software security vulnerability as software usage is increasing. Especially web shell hacking which abuses software vulnerabilities accounts for a very high percentage. These web server environment damage can induce primary damage such like homepage modification for malware spreading and secondary damage such like privacy. Source code weaknesses checking system is needed during software development stage and operation stage in real-time to prevent software vulnerabilities. Also the system which can detect and determine web shell from checked code in real time is needed. Therefore, in this paper, we propose the system improving security for web server by detecting web shell attacks which are invisible to existing detection method such as Firewall, IDS/IPS, Web Firewall, Anti-Virus, etc. while satisfying existing secure coding guidelines from development stage to operation stage.

• 한국항행학회논문지
• /
• 제15권3호
• /
• pp.372-377
• /
• 2011

지금까지의 웹 애플리케이션의 보안 취약성 분석과 관련하여 현재 국외에서 진행되고 있는 각종 프로젝트들에 대한 조사와 국내 연구 자료가 미비한 실정이다. 이는 국내 웹 서비스의 질적 향상 및 향후 발전된 서비스의 제안을 위한 선행 연구의 부족이 주요 원인이라 할 수 있다. 본 논문에서는 현재까지 발표되어 악용되어온 웹 애플리케이션의 취약성 유형들을 체계있게 살펴보고 향후 방안에 대해 살펴보고자 한다.

• 한국정보통신학회논문지
• /
• 제12권11호
• /
• pp.1993-1998
• /
• 2008

본 논문에서 제안하는 웹 서버 취약점 및 악성코드를 탐지하는 웹 로봇의 기술은 인터넷에서 개인정보보호사고의 원인분석 을 통해 도출된 요구기 능을 통합 구현하는 기술로 인터넷 이용자의 개인정보 피해 원인을 종합적으로 처리한다는 측면에서 효과가 크다. 인터넷에서 개인정보를 유출하는 홈페이지의 악성 코드 및 피싱과 파밍을 종합적으로 탐지기술을 구현함으로써 개인정보를 유출하기 위하여 사용되는 홈페이지의 악성 코드 및 피싱과 파밍 사이트로 유도되는 웹 사이트를 탐지 할 수 있는 시스템을 구현하였다.

• International Journal of Internet, Broadcasting and Communication
• /
• 제15권3호
• /
• pp.149-159
• /
• 2023

Web application security education that can provide practical experience is needed to reduce damage caused by the recent increase in web application vulnerabilities and to strengthen security. In this paper, we proposed a scenario-based web application education method, applied the proposed method to classes, and analyzed the results. In order to increase the effectiveness of scenario-based education, a real-life practice environment to perform scenarios and instructions to be performed by learners are needed. As an example of the proposed method, instructions to be performed by learners from the viewpoint of the attacker and the victim were shown in a practice environment to teach XSS and SQL injection vulnerabilities. After applying the proposed method to the class for students majoring in cyber security, when the lecture evaluation results were analyzed, it was shown that the learner's interest, understanding, and major ability all improved.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2021년도 추계학술발표대회
• /
• pp.221-224
• /
• 2021

본 논문은 WebAssembly 가 도입된 2017 년부터 현재 2021 년까지 발생한 보안 취약점을 분석하고 분류하여, WebAssembly 에 대한 개발자들의 이해도를 높이고 WebAssembly 도입에 생길 수 있는 문제점들을 정리한다. 특히 CVE-2018-6092(Integer Overflow), CVE-2018-6036(Underflow) 사례들을 제공된 PoC 를 통하여 재현하고, PoC 코드, 원인 코드와 대처 코드까지 분석한다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2017년도 제56차 하계학술대회논문집 25권2호
• /
• pp.263-264
• /
• 2017

본 논문에서는 서버의 상태를 지속적으로 모니터링하고 관리할 수 있는 웹 기반의 모니터링 솔루션을 구현하여 제안한다. 관리자가 서버의 취약점 점검을 가능토록 하여 서버에 대한 보안성을 강화하고, 웹을 통하여 서버 정보와 사용량을 실시간으로 확인할 수 있도록 편리성을 제공한다.

• 디지털산업정보학회논문지
• /
• 제16권1호
• /
• pp.79-92
• /
• 2020

As the number of systems increases and the network size increases, automated attack prediction systems are urgently needed to respond to cyber attacks. In this study, we developed four types of information gathering sensors for collecting asset and vulnerability information, and developed technology to automatically generate attack graphs and predict attack targets. To improve performance, the attack graph generation method is divided into the reachability calculation process and the vulnerability assignment process. It always keeps up to date by starting calculations whenever asset and vulnerability information changes. In order to improve the accuracy of the attack target prediction, the degree of asset risk and the degree of asset reference are reflected. We refer to CVSS(Common Vulnerability Scoring System) for asset risk, and Google's PageRank algorithm for asset reference. The results of attack target prediction is displayed on the web screen and CyCOP(Cyber Common Operation Picture) to help both analysts and decision makers.