• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.1563-1566
• /
• 2015

보안과 관련된 기술이 발전하여 대규모의 장소에 적합한 보안시스템들이 많이 개발되었다. 특히 CCTV를 이용한 감시카메라의 형태도 다양화되었다. 스마트폰의 어플리케이션이나 웹을 통해서 어디서든 감시할 수도 있어, 이를 통해 보안사고 시에 빠른 대처가 가능하다. 하지만 대규모 시스템이 아닌 경우에는 침입자 발견이 늦고, 뒤늦은 대처로 인해 큰 피해가 발생할 수 있다. 라즈베리파이, 실드 보드 등 기타 하드웨어들을 통하여 침입자를 스스로 감지하여 사용자에게 즉시 알림을 전송함으로써 보안사고에 대한 대처를 빠르고 효율적으로 할 수 있는 보안카메라를 구현하였다. 본 보안 시스템은 소리의 방향을 계산하고 정확한 방향으로의 보정을 통하여 최초 침입자를 인식한다. 이후 이미지트래킹을 통하여 침입자를 추적한다. 무선 네트워크를 이용하기 때문에 네트워크가 지원되는 어느 장소에서든지 사용이 가능하다. 대규모 보안시스템을 설치할 여건이 되기 어려운 작은 공장, 상가, 사무실 등에서 보안시스템으로 사용되면 유용할 것이다. 자세한 개발 내용은 본문에 기술한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.04b
• /
• pp.931-934
• /
• 2002

현재의 e-비즈니스 환경은 단순히 웹사이트를 구축 및 운용하는 차원을 넘어, 시간이 지남에 따라 급격한 진화 과정을 거치고 있다. 진화의 초점으로 떠오르고 있는 웹서비스 중 SAML(Security Assertions Markup Language)은 사용자 인증 정보 교환에 관한 프레임워크로 OASIS XML 보안 서비스 기술 위원회(OASIS XML-Security Service Technical Committee)에서 표준화 작업을 진행하고 있다. SAML은 S2ML(Security Services Markup Language)의 원리와 구조를 재사용해서 S2ML의 이점을 공유 하고 Single Sign-On, 인증 서비스, B2B Transaction, Sessioning같은 기능을 가진다. 그로 인해 다양한 정책기반의 산업에서 보안 시스템, 자바 어플리케이션 서버, XML 메시징 프레임워크와 오퍼레이팅 플랫폼사이에 인증, 승인과 함께 프로필 정보를 교환하기 위해 사용된다. 본 논문에서는 SAML의 범위와 목적 그리고 유즈케이스 모델과 시나리오를 통해 기본 구조와 쓰임새에 대해서 알아본다.

• Journal of Internet Computing and Services
• /
• v.13 no.4
• /
• pp.83-93
• /
• 2012

HTML5 has developed not to have browser dependancy considering interoperability as same as maintaining compatability with lower versions of HTML. HTML5, the newest web standardization is on going of being structured. Along with the smart phone boom, HTML5 is spotlighted because it can be applied to cross platforms in mobile web environments. Specially the local Storage that has been listed in new features in HTML5 supports offline function for web application that enables web application to be run even when the mobile is not connected to 3G or wifi. With Local storage, development of server-independent web application can be possible. However Local storage stores plaintext data in it without applying any security measure and this makes the plaintext data dangerous to security threats that are already exist in other client side storages like Cookie. In the paper we propose secure Local storage methods to offer a safe way to store and retrieve data in Local storage guaranteeing its performance. Suggested functions in this paper follow localStorage standard API and use a module that provide cryptographic function. We also prove the efficiency of suggested secure Local storage based on its performance evaluation with implementation.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.31 no.2
• /
• pp.263-277
• /
• 2021

Taint analysis techniques are popularly used to detect web vulnerabilities originating from unverified user input data, such as Cross-Site Scripting (XSS) and SQL Injection, in web applications written in JavaScript. To detect such vulnerabilities, it would be necessary to trace variables affected by user-submitted inputs. However, because of the dynamic nature of JavaScript, it has been a challenging issue to identify those variables without running the web application code. Therefore, most existing taint analysis tools have been developed based on dynamic taint analysis, which requires the overhead of running the target application. In this paper, we propose a novel static taint analysis technique using symbol information obtained from the TypeScript (a superset of JavaScript) compiler to accurately track data flow and detect security vulnerabilities in TypeScript code. Our proposed technique allows developers to annotate variables that can contain unverified user input data, and uses the annotation information to trace variables and data affected by user input data. Since our proposed technique can seamlessly be incorporated into the TypeScript compiler, developers can find vulnerabilities during the development process, unlike existing analysis tools performed as a separate tool. To show the feasibility of the proposed method, we implemented a prototype and evaluated its performance with 8 web applications with known security vulnerabilities. We found that our prototype implementation could detect all known security vulnerabilities correctly.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2012.10a
• /
• pp.132-138
• /
• 2012

Existing network layer firewall security support is one that does not support the higher layer, the application layer of a vulnerable web application security. Under these circumstances, the vulnerability of web applications to be able to defend a Web Application Firewall is positioned as a solver to solve the important security issues of businesses spotlighted in the next generation of security systems, and a very active market in the market other than domestic is expected to be formed. However, Firewall Web has not yet proposed a standard which can be used to test the performance of the Web Application Firewall Web Application Firewall and select the products of trust hardly Companies in BMT conduct their own individual problems and the cost of performance testing technologies, there is a limit. In this study, practically usable BMT model was developed to evaluate the firewall vendor. Product ratings ISO / IEC 9126, eight product characteristics meet the performance and characteristics of a web application firewall entries are derived. This can relieve the burden on the need to be evaluated in its performance testing of Web firewall, and can enhance the competitiveness of domestic-related sectors, by restoring confidence in the product can reduce the dependence on foreign products.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.05a
• /
• pp.614-617
• /
• 2013

DDoS 대피소 시스템은 백본 네트워크의 연동구간에서 공격 대상 서버로 유입되는 DDoS 트래픽의 경로를 변경하여 공격성 패킷은 차단하고 정상적인 패킷은 원래의 경로로 전송함으로써 서비스의 연속성을 보장하는 보안 시스템이다. 본 논문에서는 일반적인 DDoS 대피소 시스템의 구성에 L7 스위치와 웹 캐시서버를 추가적으로 구성하고 클라이언트의 요청을 웹 캐시서버에서 처리하도록 하여 소규모 트래픽을 이용한 웹 어플리케이션 계층 세션 고갈형 DDoS(Web DDoS) 공격을 효과적으로 방어할 수 있으며, IP 터널링 없이도 서비스를 지속할 수 있는 L7 계층 Web DDoS 대피소 시스템을 제안한다.

• Convergence Security Journal
• /
• v.12 no.1
• /
• pp.17-25
• /
• 2012

SQL Injection techniques disclosed web hacking years passed, but these are classified the most dangerous attac ks. Recent web programming data for efficient storage and retrieval using a DBMS is essential. Mainly PHP, JSP, A SP, and scripting language used to interact with the DBMS. In this web environments application does not validate the client's invalid entry may cause abnormal SQL query. These unusual queries to bypass user authentication or da ta that is stored in the database can be exposed. SQL Injection vulnerability environment, an attacker can pass the web-based authentication using username and password and data stored in the database. Measures against SQL Inj ection on has been announced as a number of methods. But if you rely on any one method of many security hole ca n occur. The proposal of four levels leverage is composed with the source code, operational phases, database, server management side and the user input validation. This is a way to apply the measures in terms of why the accident preventive steps for creating a phased step-by-step response nodel, through the process of management measures, if applied, there is the possibility of SQL Injection attacks can be.

• Convergence Security Journal
• /
• v.12 no.4
• /
• pp.115-122
• /
• 2012

As the most common application development of software development time, error-free quality, adaptability to frequent maintenance, such as the need for large and complex software challenges have been raised. When developing web applications to respond to software reusability, reliability, scalability, simplicity, these quality issues do not take into account such aspects traditionally. In this situation, the traditional development methodology to solve the same quality because it has limited development of new methodologies is needed. Quality of applications the application logic, data, and architecture in the entire area as a separate methodology can achieve your goals if you do not respond. In this study secure coding, the big issue, web application factors to deal with security vulnerabilities, web application architecture, design procedure is proposed. This proposal is based on a series of ISO/IEC9000, a web application architecture design process.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.04a
• /
• pp.897-900
• /
• 2011

최근 새로운 소프트웨어 배포 방식인 SaaS가 주목을 받고 있다. SaaS는 원활하고 효율적인 서비스 제공을 위하여 소프트웨어 서비스를 제공하는 SaaS 어플리케이션과 과금, 사용자 인증과 같은 공통 서비스들을 제공하는 SaaS 플랫폼으로 역할이 분리되어 있다. 이런 배경을 바탕으로 본논문에서는 효율적인 사용자인증을 위한 SaaS 플랫폼의 사용자인증 서비스인 Multi-Authentication Server를 설계 한다. 본논문에서 설계되는 Multi-Authentication Server는 OpenID, OAuth, CAS, X.509 프로토콜을 통합하여 웹기반의 사용자인증 서비스를 구현한다. 마지막으로 웹기반 사용자 인증의 보안성 한계 극복과, 최근 하드웨어 보안기능을 이용하여 RADIUS 프로토콜과 TPM칩을 통합한 하드웨어 기반 네트워크 인증서비스를 제공한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.05a
• /
• pp.154-155
• /
• 2023

WebAssembly(Wasm)은 웹에서 네이티브에 가까운 속도로 실행 가능하고, 고성능 어플리케이션의 구현도 가능하기 때문에 브라우저 및 기타 플랫폼에서 활발히 사용되고 있다. 이로 인해 Wasm에 대한 보안성이 대두되고 있는데, 이때 취약점을 탐지하는 Fuzzing 기법을 적용한 연구들이 있다. Fuzzing 기법에 대한 분류 및 대표적인 도구를 소개하고 각 기법 간 차이점 및 한계점과 향후 연구 방향을 제시한다.