• 제목/요약/키워드: Security vulnerability

검색결과 1,113건 처리시간 0.039초

Service Identification of Internet-Connected Devices Based on Common Platform Enumeration

  • Na, Sarang;Kim, Taeeun;Kim, Hwankuk
    • Journal of Information Processing Systems
    • /
    • 제14권3호
    • /
    • pp.740-750
    • /
    • 2018
  • There are a great number of Internet-connected devices and their information can be acquired through an Internet-wide scanning tool. By associating device information with publicly known security vulnerabilities, security experts are able to determine whether a particular device is vulnerable. Currently, the identification of the device information and its related vulnerabilities is manually carried out. It is necessary to automate the process to identify a huge number of Internet-connected devices in order to analyze more than one hundred thousand security vulnerabilities. In this paper, we propose a method of automatically generating device information in the Common Platform Enumeration (CPE) format from banner text to discover potentially weak devices having the Common Vulnerabilities Exposures (CVE) vulnerability. We demonstrated that our proposed method can distinguish as much adequate CPE information as possible in the service banner.

OLE 원격 접속 기능을 이용한 MS-SQL 패스워드 취약점 점검 기능 설계 (Design of the MS-SQL Password Vulnerability Checking Function Using OLE Remote Connection)

  • 장승주
    • 정보처리학회논문지:컴퓨터 및 통신 시스템
    • /
    • 제4권3호
    • /
    • pp.97-104
    • /
    • 2015
  • 본 논문은 MS-SQL 데이터베이스의 환경과 OLE 원격 접속 기능, C++ 환경을 바탕으로 MS-SQL 데이터베이스 암호정책과 사용자 계정 패스워드 접속 시도, 패스워드 없는 사용자 계정, 패스워드를 일정 기간 이상 변경하지 않은 경우 등에 대한 점검을 통해서 보안취약점 기능을 설계한다. MS-SQL 데이터베이스와 C++의 연동을 위해서는 OLE DB 기능을 사용한다. OLE DB 연동을 통해 계정마다 암호정책 강제 적용의 유무를 확인하고, 계정별 패스워드 접속 실패 유무, 패스워드 없는 사용자, 패스워드를 일정 기간 이상 변경하지 않은 경우 등을 종합적으로 판단하여 보안취약점 유무를 판단한다. MS-SQL 데이터베이스 패스워드 기능과 관련하여 여러 가지 기능들을 판단해서 보안취약점을 점검할 수 있도록 한다. 본 논문에서 제시하는 기능을 활용하여 MS-SQL 데이터베이스 보안을 강화하고자 한다.

웹 브라우저 취약성 검증을 위한 이벤트 및 커맨드 기반 퍼징 방법 (Event and Command based Fuzzing Method for Verification of Web Browser Vulnerabilities)

  • 박성빈;김민수;노봉남
    • 정보보호학회논문지
    • /
    • 제24권3호
    • /
    • pp.535-545
    • /
    • 2014
  • 최근 소프트웨어 산업의 발전과 더불어 소프트웨어 취약점을 이용한 공격이 사회적으로 많은 이슈가 되고 있다. 특히, 웹 브라우저 취약점을 이용한 공격은 윈도우 보호메커니즘을 우회할 수 있기 때문에 주요 공격 대상이 될 수 있다. 이러한 보안위협으로부터 웹 브라우저를 보호하기 위한 퍼징 연구가 지속적으로 수행되어 왔다. 하지만 기존 웹 브라우저 퍼징 도구에서는 대부분 DOM 트리를 무작위로 변형시키는 단순한 형태의 퍼징 방법을 사용하고 있다. 본 논문에서는 알려진 취약점에 대한 패턴 분석과 기존 웹 브라우저 퍼징 도구의 분석을 통해 최신 웹 브라우저 취약점을 보다 효과적으로 탐지하기 위한 이벤트 및 커맨드 기반 퍼징 방법을 제안한다. 기존 퍼징 도구 3종과 제안하는 방법을 비교한 결과 이벤트 및 커맨드 기반의 퍼징 도구가 더욱 효과적이라는 것을 볼 수 있었다.

실증검증을 통한 N/A 점검항목이 보안 수준 결과에 미치는 영향에 관한 연구 (An Study on the Impact of N/A Check Item on the Security Level Result through Empirical Verification)

  • 이준호;성경상;오해석
    • 정보처리학회논문지:컴퓨터 및 통신 시스템
    • /
    • 제3권8호
    • /
    • pp.271-276
    • /
    • 2014
  • 본 연구는 취약점 분석 평가 수행 시 N/A 점검항목이 보안 수준 결과에 미치는 영향 정도를 분석하였다. 이를 위하여, 본 논문에서는 취약점 분석 평가 범위 및 점검항목과 정량적 산출 방식을 이용하였으며, 항목의 중요성에 따른 등급과 가중치를 부여하였다. 또한, 주위 환경과 IT 기술 발달로 기관은 항상 위험에 노출되어 있으므로 위험 허용 수준을 적용하여 실증적 분석을 수행하였다. 분석한 결과, N/A 점검항목이 보안 수준에 영향을 미치는 요인으로 증명되었다. 즉, 취약점 분석 평가 수행 시 기관 특성상 연계성이 없는 점검항목은 제외시켜야 하는 것을 알 수 있었다. 본 연구에서는 실증검증을 토대로 기관 특성과 연계성을 갖지 않는 항목을 제외한 후 보안 수준 평가를 수행해야 함을 시사 하였으며, 기관 특성을 고려한 취약점 분석 평가 점검항목 정립 모델 연구가 필요함을 제시하였다.

클라우드 서비스 사용자 관점에서의 취약점과 보안관리체계 (Vulnerability and Security Management System from the Perspective of the Cloud Service Users)

  • 최영진;나종회;홍필기;이상학
    • 정보화연구
    • /
    • 제9권4호
    • /
    • pp.401-411
    • /
    • 2012
  • 정보자원에 대한 투자가 증가하면서 비용절감을 도모할 수 있는 클라우드 컴퓨팅 서비스에 대한 관심이 증가하고 있다. 그러나 클라우드 컴퓨팅은 경제적 이득이라는 장점과 함께 물리적으로 외부에 위치한 정보자원을 활용함에 의해 정보자산 통제와 정보보호의 취약점을 증가시킨다는 단점을 지니고 있다. 이에 본 연구에서는 클라우드 서비스의 고유속성으로 인한 새로운 취약점을 포함하여 클라우드 컴퓨팅의 취약점 도출과 클라우드 컴퓨팅의 취약점 통제항목을 도출한 후, 취약점과 통제항목간의 매핑을 통하여 관리되고 있지 않은 취약점을 파악하여 클라우드 컴퓨팅의 위험요인을 제시하였다.

Windows Update 및 Automatic Updates의 설계 오류 분석 및 해결 방안 (Analysis of Design Error in Windows Update and Automatic Updates, and the Solutions)

  • 김윤주;윤영태;강성문
    • 융합보안논문지
    • /
    • 제6권3호
    • /
    • pp.107-115
    • /
    • 2006
  • 마이크로소프트에서 보안패치 적용을 쉽고 빠르게 할 수 있도록 지원하는 윈도우즈 업데이트(Windows Update)와 자동 업데이트(Automatic Updates)의 적용 대상 보안패치 검색 모듈에서 설계상의 오류가 발견되었고, WFP(Windows File Protection)에 대한 우회 방법이 공개되었다. 이로 인해 취약점을 그대로 유지하면서 보안패치 검색이 되지 않도록 하는 보안패치 가장 공격이 가능함을 입증하고, 위협 시나리오를 구성한다. 그리고 보안패치 검색 모듈의 설계상 오류를 해결하기 위한 방안을 제안한다.

  • PDF

가상화 환경 위험도 관리체계화를 위한 취약점 분석 (The Vulnerability Analysis for Virtualization Environment Risk Model Management Systematization)

  • 박미영;승현우;임양미
    • 인터넷정보학회논문지
    • /
    • 제14권3호
    • /
    • pp.23-33
    • /
    • 2013
  • 최근 IT분야에서 클라우드 컴퓨팅 기술은 유연성, 효율성, 비용절감이라는 특징을 갖고 있어 현 사회에 빠르게 보급되고 있다. 그러나 클라우드 컴퓨팅 시스템은 보안의 취약점을 크게 갖고 있다. 본 연구에서는 클라우드 컴퓨팅 시스템 보안의 취약점 해결을 위해, 가상머신의 취약점에 대한 유형 및 영향분석 타입(impact type)을 정하고, 가상머신의 취약점에 대한 위험도 평가에 따른 우선순위를 정하였다. 취약점 분석을 위해서는 오픈프레임워크인 CVSS2.0을 기반으로 취약점에 대한 위험도 측정 기준을 정의하고 해당 취약점마다 점수를 매겨 위험도 측정을 체계화하였다. 제시된 취약점 위험도 기준은 취약점의 근본적인 특징을 제시하고 취약점에 대한 위험도를 제공하여 취약점 최소화를 위한 기술적 가이드를 작성하는 데에 활용 가능할 것으로 판단된다. 또한 제시된 취약점 위험도 기준은 연구내용 자체로 의미가 있으며 향후 추진될 기술 정책프로젝트에서 활용될 수 있다.

Attack Tree를 활용한 Game Theory 기반 보안 취약점 정량화 기법 (Game Theory-Based Vulnerability Quantification Method Using Attack Tree)

  • 이석철;이상하;손태식
    • 정보보호학회논문지
    • /
    • 제27권2호
    • /
    • pp.259-266
    • /
    • 2017
  • 현대사회는 가정, 산업, 금융 등 다양한 분야에 IT 기술 기반 시스템이 도입되어 운영되고 있다. 사회의 안전을 보장하기 위해서는 사회 전반에 도입된 IT 시스템을 사이버 공격으로부터 보호해야하며, 이를 위해 시스템의 현재 보안상태를 이해하고, 점검하는 것은 사이버 공격에 효과적으로 대응하기 위해 선결되어야 하는 과제이다. 본 논문에서는 보안 취약점을 점검하기 위해 사용되는 Game Theory 및 Attack Tree 방법론의 한계점을 분석하고, 두 방법론의 한계를 상호 보완한 보안 취약점 정량화 기법을 제안하여, 보다 객관적이고 체계적으로 보안 취약점을 점검할 수 있는 방법을 제공한다.

무선 랜 환경 인증 메커니즘의 취약성 분석 및 대응방안 연구 (Study on Vulnerability and Countermeasures of Authentication Mechanism in Wireless LAN)

  • 최진호;오수현
    • 정보보호학회논문지
    • /
    • 제22권6호
    • /
    • pp.1219-1230
    • /
    • 2012
  • 최근 들어 많은 사용자들은 WEP, WPA와 같은 보호 메커니즘을 이용하여 인증 및 기밀성이 제공되는 무선 랜을 이용하고 있다. 하지만 각 보호 메커니즘의 취약성이 발견되고 이를 이용하여 사용자의 정보가 제 3자에게 노출되거나 변조되어 악용하는 공격 기법들이 제안되었다. 본 논문에서는 무선 랜 보안 메커니즘을 분석하고 알려진 취약성을 이용하여 PSK(Pre-Shared Key) 크래킹 및 쿠키 세션 하이재킹 공격을 수행하고, PSK 크래킹 공격에 대응할 수 있는 개선된 4-way handshake 메커니즘과 쿠키 세션 하이재킹 공격을 방어할 수 있는 쿠키 재전송 탐지 메커니즘을 제안한다. 제안하는 메커니즘은 기존 방식의 취약성에 대응하여 보다 안전한 무선 랜 환경을 구축하는데 활용할 수 있을 것으로 기대한다.

Secure Coding for SQL Injection Prevention Using Generative AI

  • Young-Bok Cho
    • 한국컴퓨터정보학회논문지
    • /
    • 제29권9호
    • /
    • pp.61-68
    • /
    • 2024
  • 생성형 인공지능은 텍스트, 이미지, 음악 등 다양한 형태의 콘텐츠를 생성하는 기술로, 다양한 분야에 활용되고 있다. 보안 분야에서도 생성형 인공지능을 활용한 디지털포렌식, 악성코드 분석, 취약점분석 등 다양한 분야에 새로운 가능성을 열 준비를 하고 있다. 본 논문에서 생성형 인공지능을 보안영역을 고려한 활용방법으로 보안 취약점 분석 및 예측을 위해 ChatGPT를 활용해 취약점 식별및 시큐어 코딩이 가능한 가이드를 제시한다. 생성형 인공지능은 보안 분야에 혁신적인 가능성을 제시하지만, 기술적 발전과 함께 윤리적, 법적 문제에 대한 심도있는 고민을 통해 생성형 인공지능이 안전하고 효과적으로 활용될 수 있도록 지속적인 연구와 개발이 필요할것이다.