• 융합보안논문지
• /
• 제12권4호
• /
• pp.71-76
• /
• 2012

Mashups, web 3.0, 자바스크립트 및 AJAX 등의 이용이 증가하면서 웹애플리케이션 서비스 제공시 웹취약점들에 대한 새로운 보안 위협이 증대되고 있으며, 이에 대한 사전 진단과 함께 대비가 요구된다. 본 논문에서는 웹취약성에 대한 보안 위협과 요구사항을 제시하고, Web Vulnerability Scanner(WVS) 자동화 도구를 이용하여 국내에서 서비스되고 있는 웹사이트를 대상으로 웹취약성을 분석한다. Cross Site Scripting(XSS)와 SQL Injection 등 대표적인 웹취약성에 대한 분석 결과, 약 22.5%에 해당하는 웹사이트가 보안에 취약한 것으로 나타났으며, 취약성 경고 수는 0부터 31,171 alerts로 분포되고, 평균 411 alerts, 편차는 2,563 alerts로서 보안 관리에 취약한 웹사이트의 경우, 경고 수가 높은 값을 나타내고 있어 세부적인 웹취약성에 대한 사전 대비가 필요함을 알 수 있다.

• ETRI Journal
• /
• 제38권2호
• /
• pp.376-386
• /
• 2016

Currently, web applications are gaining in prevalence. In a web application, an input may not be appropriately validated, making the web application susceptible to cross-site scripting (XSS), which poses serious security problems for Internet users and websites to whom such trusted web pages belong. A taint inference is a type of information flow analysis technique that is useful in detecting XSS on the client side. However, in existing techniques, two current practical issues have yet to be handled properly. One is URL rewriting, which transforms a standard URL into a clearer and more manageable form. Another is HTML sanitization, which filters an input against blacklists or whitelists of HTML tags or attributes. In this paper, we make an analogy between the taint inference problem and the molecule sequence alignment problem in bioinformatics, and transfer two techniques related to the latter over to the former to solve the aforementioned yet-to-be-handled-properly practical issues. In particular, in our method, URL rewriting is addressed using local sequence alignment and HTML sanitization is modeled by introducing a removal gap penalty. Empirical results demonstrate the effectiveness and efficiency of our method.

• 정보처리학회논문지A
• /
• 제15A권3호
• /
• pp.181-188
• /
• 2008

오늘날 대부분의 웹사이트는 웹 응용 프로그램이 적절한 웹 페이지를 생성하여 전송하는 형태인 동적 웹페이지를 사용하고 있다. 이에 대하여, 취약한 웹 응용 프로그램에 악의적인 문자열을 전달하는 공격의 형태가 증가하고 있다. 본 논문에서는 대표적인 문자열 삽입 공격인 SQL 삽입(SQL Injection) 공격과 크로스 사이트 스크립팅(Cross Site Scripting, XSS) 공격에 대하여 웹 응용 프로그램내의 보안 취약성을 자동으로 찾아 주는 프로그램 정적 분석기를 개발하였다. 요약 해석을 사용한 프로그램 분석을 위하여 가능한 문자열 값을 제외 문자열들과 함께 표현하는 요약 자료 공간과 PHP 언어의 요약된 의미 규칙을 설계하였으며, 이를 기반으로 분석기를 구현하였다. 또한 개발된 분석기가 기존의 연구 결과와 비교하여 경쟁력 있는 분석 속도와 정밀도를 가짐을 실험을 통하여 보였다.

• 한국컴퓨터정보학회논문지
• /
• 제16권1호
• /
• pp.125-132
• /
• 2011

웹 기반 공격에 대한 대응책으로 계층적 웹 보안 시스템이 있지만 다양한 혼합 및 우회 공격에는 제대로 대응하지 못하는 실정이다. 본 논문은 웹 공격에 의해 발생하는 악성코드 유포, XSS, 웹쉘 생성, URL Spoofing, 개인 정보유출 등의 증상을 HTTP outbound traffic의 감시를 통해 실시간으로 탐지하는 효율적인 기법을 제안한다. 제안 기법은 다양한 웹 공격에 의해 생성되는 HTML 태그와 Javascript 코드를 분석하여 설정한 시그너처를 outbound traffic과 비교 검색하여 웹 공격을 탐지한다. 실제 침입 환경에서의 검증 분석을 통해, 계층적 보안 시스템과 결합된 제안기법이 우회된 웹 공격에 대한 탐지능력이 탁월함을 보인다.

• 융합보안논문지
• /
• 제13권6호
• /
• pp.83-89
• /
• 2013

웹 해킹 대책을 적용할 경우 어느 한가지 기술이나 방법보다 통합된 대책을 구성하고 정보보안을 단계적으로 실행하는 방법이 필요하다. 웹 해킹 대응을 어느 한가지 방법에만 의존 시 많은 보안 공백을 발생 시킬 수 있다. 본 연구에서는 Cross-site scripting 공격 프로세스를 진단하여 웹 해킹 대응절차를 설계한다. 대응체계는 프레임워크를 구성하고 정보보안을 단계적으로 실행하는 방법이다. 단계적 대응모델은 대책의 구조를 시스템 설계단계, 운용단계, 사용단계로 구성하는 방법이다. 시스템 설계단계는 방법은 개발 라이프 사이클에 기초하여 시큐어코딩 설계로 보안 효율성을 높인다. 사용단계에서는 사용자의 보안 이행사항을 체계화한다. 본 방법론을 실무현장에 적용할 경우 현장에서 필요한 종합적인 접근방법론 모델로 활용할 수 있다.

• 융합보안논문지
• /
• 제12권3호
• /
• pp.99-106
• /
• 2012

오늘날 대표적 웹 해킹 공격기법은 크로스사이트스크립팅(XSS)과 인젝션 취약점 공격, 악성 파일 실행, 불안전한 직접 객체 참조 등 이다. 웹해킹 보안시스템인 접근통제 솔루션은 웹 서비스로 접근하는 패킷을 통제하지 않고 내부로 유입시킨다. 때문에 만약 통과하는 패킷이 악의적으로 조작 되었을 경우에도 이 패킷이 정상 패킷으로 간주된다. 이때 방어시스템은 적절한 통제를 하지 못하게 된다. 따라서 성공적인 웹 서비스를 보증하기 위하여 웹 애플리케이션 취약점 진단시스템 개발이 실질적이며 절실히 요구되는 대안이다. 웹 애플리케이션 취약점 진단시스템 개발은 개발절차 정립, 웹 시스템 취약점 진단범위 설정, 웹 어플리케이션 분석, 보안 취약점 점검항목 선정의 단계가 진행 되어야 한다. 그리고 진단시스템에서 필요한 환경으로서 웹 시스템 사용도구, 프로그램언어, 인터페이스, 변수가 설정되어야 한다.

• 융합보안논문지
• /
• 제18권3호
• /
• pp.37-44
• /
• 2018

오늘날 우리는 웹 사이트의 홍수 속에 살고 있으며, 다양한 정보를 얻기 위해서 인터넷을 통해 수많은 웹 사이트에 접속을 하고 있다. 하지만 웹 사이트의 보안성이 담보되지 않는다면, 여러 악의적인 공격들로부터 웹 사이트의 안전성을 확보할 수가 없다. 특히 금전적인 목적, 정치적인 목적 등 다양한 이유로 웹 사이트의 보안 취약점을 악용한 해킹 공격이 증가하고 있다. SQL-Injection, 크로스사이트스크립트(XSS), Drive-By-Download 등 다양한 공격기법들이 사용되고 있으며, 그 기술 또한 갈수록 발전하고 있다. 이와 같은 다양한 해킹 공격들을 방어하기 위해서는 웹 사이트의 개발단계부터 취약점을 제거하여 개발하여야 하지만, 시간 및 비용 등 여러 문제들로 인해 그러지 못하는 것이 현실이다. 이를 보완하기 위해 웹 취약점 점검을 통해 웹 사이트의 취약점을 파악하고 조치하는 것이 중요하다. 이에 본 논문에서는 웹 취약점 및 진단기법에 대해 알아보고 실제 웹 취약점 진단 사례를 통해 각 사례별 조치현황에 따른 개발단계에서의 취약점별 조치 우선 순위에 대해 알아보고자 한다.

• 정보보호학회논문지
• /
• 제22권2호
• /
• pp.283-293
• /
• 2012

최신의 변종 악성코드는 백신에 의해 쉽게 탐지 되지 않아 장시간에 걸쳐 개인정보와 같은 다양한 데이터를 유출시키기도 한다. 일반적으로 인젝션, 취약한 인증과 세션관리, 크로스 사이트 스크립팅(XSS), 안전하지 않은 직접 객체 참조 등의 웹 취약점을 활용한 거점 좀비 PC를 이용하여 네트워크 연계를 통하여 정보 유출형 악성코드가 빈번히 설치되고 있다. 악성코드가 실행되면 임의의 서비스와 프로세스로 등록되고, 등록된 악성코드는 이를 기반으로 공격자가 정보를 수집하는 사이트로 주기적으로 정보를 유출한다. 본 논문에서는 2011년 1월부터 빈번하게 발생한 악성코드 중에서 유용한 사례로 웜 형태의 신종 악성코드인 소위 "winweng"의 체계적인 분석을 통해서 감염경로 및 정보유출의 과정과 방법에 대하여 분석하고 이에 대한 대응 방안을 연구하였다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2006년도 하계학술대회
• /
• pp.334-339
• /
• 2006

인터넷을 통한 고도의 정보 통신망 구축은 제한적이던 네트워크의 침입에 대한 위험성을 증대시켰으며, 그에 따라 안전성 있는 웹 서비스 구축이 무엇보다 중요한 문제로 자리 잡고 있다. 안전성 있는 인터넷 서비스를 구성하기 위한 하나의 일환으로, 본 논문에서는 사용자에게 안전한 웹 서비스 제공을 위한 실시간 웹 무결성 검증 시스템을 제안하고자 한다. 프록시 서버와 웹 서버의 연동 보안 기술로, 데이터 무결성 검증을 위한 SHA-1과 N-gram의 효율적인 hybrid 방식 기법을 이용한 이 시스템은 XSS 취약점 공격, SQL 삽입 공격, 파일 업로드 취약점 공격 등을 방어하고 정부기관 및 기업뿐만이 아닌 홈네트워크 환경에서도 안전한 보안 서비스를 제공할 수 있을 것이다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2016년도 제53차 동계학술대회논문집 24권1호
• /
• pp.105-106
• /
• 2016

본 논문에서는 S/W 개발 보안 지침에서 설계 단계의 보안 코딩 지침을 알려준다. 크로스 사이트 스크립트 공격 취약점(XSS)에서부터 자원 삽입 까지 S/W 보안 취약점의 주요 내용을 입력 데이터의 검증 및 표현에 맞추어 지침을 전달하도록 한다.