• 제목/요약/키워드: web vulnerability

검색결과 146건 처리시간 0.047초

웹기반 보안 관리 수준 분석 도구 (Tools for Web-Based Security Management Level Analysis)

  • 김점구;최경호;노시춘;이도현
    • 융합보안논문지
    • /
    • 제12권3호
    • /
    • pp.85-92
    • /
    • 2012
  • 기존의 보안 관리 수준을 측정하기 위한 방법들이 다양하지만 IT 자산을 중심으로 한 평가만이 이루어지고 있는 관계로 조직 전반에 걸친 분석이 이루어지지 못했다. 따라서 본 논문에서는 보안 관리 수준 점검을 손쉽게 할 수 있도록 웹 기반 보안 관리 수준 분석 도구에 대해 제시한다. 본 도구의 경우는 전사적 정보 보호 관리 방법론인 ISO 27001의 보안통제 항목들을 기반으로 설문 내용을 구성하였다.

Supplementary Event-Listener Injection Attack in Smart Phones

  • Hidhaya, S. Fouzul;Geetha, Angelina;Kumar, B. Nandha;Sravanth, Loganathan Venkat;Habeeb, A.
    • KSII Transactions on Internet and Information Systems (TIIS)
    • /
    • 제9권10호
    • /
    • pp.4191-4203
    • /
    • 2015
  • WebView is a vital component in smartphone platforms like Android, Windows and iOS that enables smartphone applications (apps) to embed a simple yet powerful web browser inside them. WebView not only provides the same functionalities as web browser, it, more importantly, enables a rich interaction between apps and webpages loaded inside the WebView. However, the design and the features of WebView lays path to tamper the sandbox protection mechanism implemented by browsers. As a consequence, malicious attacks can be launched either against the apps or by the apps through the exploitation of WebView APIs. This paper presents a critical attack called Supplementary Event-Listener Injection (SEI) attack which adds auxiliary event listeners, for executing malicious activities, on the HTML elements in the webpage loaded by the WebView via JavaScript Injection. This paper also proposes an automated static analysis system for analyzing WebView embedded apps to classify the kind of vulnerability possessed by them and a solution for the mitigation of the attack.

HTML5 웹 서비스 환경에서의 개인정보 침해 탐지 모듈 구현 (Implementation of the Personal Information Infringement Detection Module in the HTML5 Web Service Environment)

  • 한미란;곽병일;김환국;김휘강
    • 정보보호학회논문지
    • /
    • 제26권4호
    • /
    • pp.1025-1036
    • /
    • 2016
  • ActiveX와 같은 비표준 기술에 기반을 둔 인터넷 환경을 개선하기 위해 국제 웹 표준 활용 기술인 HTML5의 전환이 진행되고 있다. 웹 페이지를 만들기 위한 기본 프로그래밍 언어인 HTML5 (Hyper Text Markup Language 5)는 HTML4보다 보안을 고려하여 설계되었다. 그러나 새롭게 추가된 신기술들로 인해 웹 기반 취약점에 대한 공격 범위가 넓어졌으며, HTML4 환경에서 발생하던 다양한 보안 위협들이 그대로 상속되고 있다. 본 논문에서는 스크립트 기반 사이버 공격 및 HTML5 기능 악용 스크립트 중 개인정보 침해가 발생할 수 있는 부분에 초점을 두었으며, 어떤 공격에 악용되어 개인정보가 침해되는지 실제 재현하였다. 또한, 개인정보 침해를 유발하는 공격에 대해 클라이언트 기반으로 진단 가능한 플러그인 타입의 탐지 모듈을 구현하였다. 진단 스캐너를 이용한 공격 탐지는 HTML5 기반 웹 어플리케이션이나 웹 페이지에 대한 신뢰도를 자가 진단한 후 웹 서비스를 이용하므로 HTML5의 취약점 공격에 대해 사전대응이 가능하며, 새로운 취약점 발생 시 탐지 기능 추가가 자유로워 확장성이 용이하다.

IIS 웹서버에서 WebDAV의 버퍼 오버플로우 취약점 분석 (Analysis of a Buffer Overflow Vulnerability of WebDAV on IIS Web Server)

  • 장혜영;민욱기;조성제
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2004년도 춘계학술발표대회
    • /
    • pp.1023-1026
    • /
    • 2004
  • 최근 소프트웨어 보안취약성 분석의 일환으로 프로그램 소스가 없고 기계어 프로그램만 제공되는 소프트웨어의 보안 취약점을 분석하는 연구가 많이 수행되고 있다. 본 논문에서는 MS 윈도우 2000 운영체제의 IIS 웹서버를 대상으로, WebDAV의 한 버퍼 오버플로우 취약점을 공격하여 취약성을 재현한 후, 디버거 및 역공학 도구를 사용하여 해당 보안 취약점을 가진 코드를 분석하는 방법을 제시하였다. 본 연구 결과는 취약성분석 절차 방법 및 신뢰성 있는 소프트웨어 개발에 기여할 수 있을 것으로 기대된다.

  • PDF

S/W 개발 보안의 필요성에 따른 법 제도 및 규정 사례 분석 (Case Analysis of Legal System and Regulations according to the Needs of S/W Development Security)

  • 신성윤;정길현
    • 한국컴퓨터정보학회논문지
    • /
    • 제19권10호
    • /
    • pp.117-124
    • /
    • 2014
  • S/W 개발 보안이란 안전한 SW 개발을 위해 잠재적인 보안취약점을 제거하고, 보안을 고려하여 기능을 설계 구현하는 등 SW 개발 과정에서 일련의 보안활동을 말한다. 본 논문에서는 우리에게 정신적, 금전적으로 상당한 피해를 주는 국내외 해킹 사례를 살펴보도록 한다. 웹 사이트 공격의 약 75%가 응용프로그램 즉, S/W의 취약점을 악용한 것임을 상기시킨다. 그리고 이러한 취약점들을 많이 가지고 있는 S/W 개발 보안의 주요 이슈들을 알아보도록 한다. 그리고 보안관련 법 제도 및 규정을 공공부분과 민간부분으로 나누어 제시하도록 한다. 그리고 보안관련 법 제도 및 규정의 세부 내역들을 예를 들어 나타내 보도록 한다.

실시간 고화질 영상에 대한 웹기반의 HLS 멀티뷰 시스템 설계 (Web-based HLS(Http Live Streaming) Multi-view System for Real-time High Quality Video)

  • 김대진
    • 한국콘텐츠학회논문지
    • /
    • 제17권11호
    • /
    • pp.312-318
    • /
    • 2017
  • 최근 고화질 영상 입력장치가 일반화 되고 있으며, 실시간으로 입력된 영상을 한 곳에서 동시에 볼 수 있는 중앙관제시스템이 필수 요소가 되고 있다. 이때 프로그램을 따로 설치하지 않고, 웹을 통한 접근을 하려는 시도들이 있으나, 여러 개의 고화질 영상을 동시에 웹 브라우저를 통해 시청하려하면, 웹 브라우저가 강제 종료되는 현상이 발생된다. 본 논문에서는 실시간 고화질 영상에 대한 웹기반의 HLS 멀티뷰 시스템을 제안한다. 화면으로 보이는 멀티뷰 화면을 트랜스코딩을 통해서 재구성하였고, 보안의 취약점이 있는 ActiveX를 사용하지 않으면서도, 통시에 웹브라우저를 통해서 여러 영상 입력을 모니터링 할 수 있는 시스템을 구현 하였다.

Open Authorization에서의 안전한 사용자 권한 인증 방법에 관한 연구 (Secure User Authority Authentication Method in the Open Authorization)

  • 채철주;이준환;조한진
    • 디지털융복합연구
    • /
    • 제12권8호
    • /
    • pp.289-294
    • /
    • 2014
  • 최근 다양한 웹 서비스와 어플리케이션들이 사용자에게 제공되고 있다. 이러한 서비스들은 인증된 사용자에 한해서 서비스를 제공하기 때문에 사용자는 매번 서비스 별로 인증을 수행해야 하는 불편함을 겪고 있다. 이러한 불편함을 해결하기 위해 3rd Party 어플리케이션이 웹 서비스에 대하여 제한된 접근 권한을 얻을 수 있게 해주는 OAuth(Open Authorization) 프로토콜이 등장하게 되었다. 이러한 OAuth 프로토콜은 사용자에게 편리하고 유연한 서비스를 제공하지만 권한 획득에 대한 보안 취약점을 가지고 있다. 그러므로 본 논문에서는 OAuth 2.0 프로토콜에서 발생할 수 있는 보안 취약점을 분석하고 이러한 보안 취약점을 보완한 방안을 제시한다.

웹서비스 공격정보 분류 방법 연구 (A Study on Classification Method for Web Service Attacks Information)

  • 서진원;서희석;곽진
    • 한국시뮬레이션학회논문지
    • /
    • 제19권3호
    • /
    • pp.99-108
    • /
    • 2010
  • 본 논문의 주요 내용은 인터넷의 웹서비스 공격에 대한 효과적인 대책을 수립하기 위한 연구로서, 웹서비스 대상으로 하는 공격 정보를 네트워크 계층 및 호스트 구성단위 별 취약점을 분류하며, 서비스 유형에 따른 공격범위 산정 및 분류방법에 대한 모색을 하고자 한다. 이 논문 자료를 이용하여 웹 서비스 공격 정보들의 분석정보를 축척을 통한 다양한 웹 보안 강화 사업 추진의 핵심 정보로 활용될 수 있으며, 웹사이트 공격 탐지 및 대응을 위한 관련 보안 연구의 기초자료 및 정보 보호 산업 활성화에 기여할 수 있다.

소프트웨어 취약점의 종류와 탐색 방법 (Browser fuzzing and analysis using known vulnerability)

  • 김남규;김현호;이훈재
    • 한국정보통신학회:학술대회논문집
    • /
    • 한국정보통신학회 2015년도 추계학술대회
    • /
    • pp.753-756
    • /
    • 2015
  • 인터넷 기술이 보편화되면서 웹브라우저에서 뉴스, 쇼핑, 검색 등 다양한 활동이 이뤄지고 있다. 그 규모가 방대해지고 정보보안에 사고의 규모가 증가하고 이에 대한 피해가 증가함에 따라 인터넷 사용에 대한 안전성이 강조되고 있다. 일반적으로 사용하는 소프트웨어인 IE 브라우저는 ASLR, Isolated Heap 등 다양한 보호 기법 등 수많은 취약점을 지속적으로 패치 하고 있으나 취약점은 끊임없이 나오고 있다. 따라서 보안 사고를 예방하려면 해당 취약점이 악용되기 이전에 찾아내서 제거해야한다. 이에 본 논문은 취약점 발견에 사용되는 기법인 퍼징에 대해 소개하며, 이에 관련된 자동화 기술에 대해 기술한다.

  • PDF