• 한국전자통신학회논문지
• /
• 제9권9호
• /
• pp.1011-1018
• /
• 2014

웹 사이트를 통한 정보제공이 활성화 되면서 웹 애플리케이션의 취약점을 이용한 웹 해킹 시도가 증가하고 있다. 웹 애플리케이션의 보안을 강화하려면 먼저 웹 애플리케이션의 취약점을 찾아 제거할 필요가 있다. 본 논문은 웹 애플리케이션에 대한 기존의 취약점 해결 방법을 분석하고 보다 발전된 취약점 해결방안을 제시하고자 한다. 웹 애플리케이션 취약점 분석을 통해 현존하는 웹 취약점을 제거한 웹 보안 상태의 안정성을 점검하고 기존 방법의 적합성을 평가하였다. 또한 기존 취약점 해결방안의 미비점을 보완한 방법으로 웹 프락시(Proxy) 시스템을 통한 취약점 분석 툴을 구현하고 최적화 방안을 제시하였다.

• 한국항행학회논문지
• /
• 제15권4호
• /
• pp.655-663
• /
• 2011

최근 인터넷 서비스 기술이 발달함에 따라 웹 서비스는 사용자의 컴퓨팅 환경에 많은 변화를 주었다. 시사, 경제, 게임/오락은 물론, 개인 금융까지도 웹 페이지를 통해 처리 된다. 이 때, 웹 페이지는 텍스트 형태의 코드를 전송받아 DOM 정보로 가공되어 웹 브라우저에 의해 사용자에게 보여 진다. 하지만, 이 정보들은 다양한 경로를 통해 접근이 가능하고 악의적인 목적으로 변조되어질 수 있다. 또한, 보안 매커니즘을 우회하여 사용자의 로그인 정보나 인증서를 획득할 수도 있다. 따라서, 본 논문에서는 이러한 웹페이지 변조 행위를 탐지하기 위해 웹 브라우저 중 대표적인 MicroSoft 사의 MS Internet Explorer의 Add-On 프로그램인 BHO를 이용하여 웹 컨텐츠에 대한 무결성을 검증하는 탐지 방법을 제안한다.

• 인터넷정보학회논문지
• /
• 제23권1호
• /
• pp.49-68
• /
• 2022

해운 선사의 운영시스템은 주전산기를 이용한 단말기 접속 환경 또는 클라이언트/서버 구조의 환경을 유지하고 있는 경우가 아직 많으며, 웹서버 및 웹 애플리케이션 서버를 이용한 웹 기반 환경으로의 전환을 고려하는 해운 선사가 증가하고 있다. 그런데 전환 과정에서, 기존 구성 방식과 지식을 바탕으로 웹 기반 환경의 특성 및 해운 업무의 특성을 고려하지 않고 설계를 진행하는 경우, 다양한 보안상 취약점이 실제 시스템 운영 단계에서 드러나게 되고, 이는 시스템 유지보수 비용의 증가를 초래하게 된다. 그러므로 웹 기반 환경으로의 전환 시에는, 시스템 안전성 확보 및 보안 관련 유지보수 비용 절감을 위해 설계 단계에서부터 반드시 보안을 고려한 설계가 진행되어야 한다. 본 논문에서는 다양한 위협 모델링 기법의 특성을 살펴보고, 해운 선사 운영시스템에 적합한 모델링 기법을 선정한 후, 데이터 흐름도와 STRIDE 위협 모델링 기법을 해운 선사 업무에 적용하여, 데이터 흐름도의 각 구성 요소에서 발생 가능한 보안 위협을 공격자 관점에서 도출하고, 공격 라이브러리 항목과의 매핑을 통해 도출된 위협의 타당성을 입증한다. 그리고, 이를 이용하여 공격자가 최종목표 달성을 위해 시도할 수 있는 다양한 공격 시나리오를 공격 트리로 나타내고, 보안 점검 사항과 관련 위협 및 보안 요구사항을 체크리스트로 구성한 후, 최종적으로 도출된 위협에 대응할 수 있는 23개의 보안 요구사항을 제시한다. 기존의 일반적인 보안 요구사항과는 달리, 본 논문에서 제시하는 보안 요구사항은 해운 선사의 실제 업무를 분석한 후, 여기에 위협 모델링 기법을 적용하여 도출된 해운 업무 특성을 반영한 보안 요구사항이므로, 추후 웹 기반 환경으로의 전환을 추진하는 해운 선사들의 보안 설계에 많은 도움이 될 것으로 생각한다.

• 한국멀티미디어학회논문지
• /
• 제7권1호
• /
• pp.91-97
• /
• 2004

전자상거래는 컨텐츠를 통해 거래가 이루어지고 있는데 외부로부터 불법적 침입을 받을 수 있는 컨텐츠에 대한 보안이 절실히 요구되고 있다. 전자상거래 컨텐츠의 대한 침해 방지를 그동안 수동적인 형태의 보호에서 이제는 적극적인 형태의 보호 대책을 강구해야 한다. 그래서, 해커들의 불법적인 컨텐츠 침입에 대한 보호가 필요하다. 컨텐츠에 대한 침입이 발생함과 동시에 시스템에 대한 피해를 최소화하기 위한 컨텐츠 감시 기능을 제공하는 도구가 요구된다. 본 논문의 웹 컨텐츠 변경 탐지 시스템은 웹에 대한 개별적인 모니터링을 처리하여 소요되는 자원 및 인력의 손실을 방지하는데 있다. 그리고, 웹 환경의 컨텐츠 보안의 취약성과 정보 노출에 대한 문제점의 원인을 분석하여 컨텐츠의 빠른 지원을 제공한다. 이 시스템은 모니터링을 이용하여 컨텐츠 보안 취약성을 정보 노출을 보호하는데 그 목적이 있다.

• 융합보안논문지
• /
• 제13권6호
• /
• pp.83-89
• /
• 2013

웹 해킹 대책을 적용할 경우 어느 한가지 기술이나 방법보다 통합된 대책을 구성하고 정보보안을 단계적으로 실행하는 방법이 필요하다. 웹 해킹 대응을 어느 한가지 방법에만 의존 시 많은 보안 공백을 발생 시킬 수 있다. 본 연구에서는 Cross-site scripting 공격 프로세스를 진단하여 웹 해킹 대응절차를 설계한다. 대응체계는 프레임워크를 구성하고 정보보안을 단계적으로 실행하는 방법이다. 단계적 대응모델은 대책의 구조를 시스템 설계단계, 운용단계, 사용단계로 구성하는 방법이다. 시스템 설계단계는 방법은 개발 라이프 사이클에 기초하여 시큐어코딩 설계로 보안 효율성을 높인다. 사용단계에서는 사용자의 보안 이행사항을 체계화한다. 본 방법론을 실무현장에 적용할 경우 현장에서 필요한 종합적인 접근방법론 모델로 활용할 수 있다.

• 정보보호학회논문지
• /
• 제28권6호
• /
• pp.1393-1399
• /
• 2018

다양한 소프트웨어를 사용하는 기업은 보안 업체에서 제공하는 패치관리시스템을 사용하여 소프트웨어의 취약점을 일괄적으로 관리해서 보안 수준을 높인다. 시스템 관리자는 최신 소프트웨어 버전을 유지하기 위해 신규 패치 정보를 제공하는 벤더 사이트를 모니터링 하지만 패치를 제공하는 주기가 불규칙적이고 웹 페이지 구조가 다르기 때문에 패치 정보를 검색하고 수집하는데 많은 비용과 모니터링 시간이 소요된다. 이를 줄이기 위해 키워드나 웹 서비스를 기반으로 패치 정보 수집을 자동화하는 연구가 진행되었으나 벤더 사이트에서 패치 정보를 제공하는 구조가 규격화되어 있지 않기 때문에 특정 벤더 사이트에서만 적용 가능했다. 본 논문에서는 패치 정보를 제공하는 벤더 사이트 구조와 특징을 분석하고 패치 정보 수집에 소모되는 비용과 모니터링 시간을 줄이기 위해서 웹 크롤러를 이용해 패치 정보 수집을 자동화하는 시스템을 제안한다.

• 정보보호학회논문지
• /
• 제22권3호
• /
• pp.667-677
• /
• 2012

악성코드 유포자들은 웹 어플리케이션 취약점 공격을 이용해 주로 악성코드를 유포한다. 이러한 공격들은 주로 악성링크를 통해 이루어지며, 이를 탐지하고 분석하는 연구가 활발히 이루어지고 있다. 하지만, 현재의 악성링크 탐지 시스템은 대부분 시그니처 기반이어서 난독화 된 악성링크는 탐지가 거의 불가능하고 알려진 취약점은 백신을 통해 공격을 사전에 방지 할 수 있지만 알려지지 않은 취약점 공격은 사전 방지가 불가능한 실정이다. 이러한 한계점을 극복하기 위해 기존의 시그니처 기반 탐지 방법을 지양하고 행위기반 탐지 시스템에 관한 연구가 이루어지고 있다. 하지만 현재 개발된 탐지 시스템은 현실적으로 제약사항이 많아 실제로 활용하기에는 한계가 있다. 본 논문에서는 이와 같은 한계를 극복하고 탐지 효율을 높일 수 있는 새로운 웹 브라우저 기반 악성행위 탐지 시스템인 WMDS (Web-browser based Malicious behavior Detection System)를 소개 하고자 한다.

• 지식경영연구
• /
• 제11권1호
• /
• pp.1-17
• /
• 2010

As information technology had shown tremendous development in late 20th century, various service opportunities appeared in many industries. Also, new types of service are becoming available such as, reservation, teleconsultation, telemedicine. In health care industry, in which, many hospitals are faced operational difficulties and competing impetuously, a web site has become a effective tool to attract patients and transfer tremendous health information to the patients. This study is based on many previous researches on online service quality, try to figure out e-service quality factors of health information sites, and the factors' effect on users' satisfaction on the web site via providing knowledge and trust on the web site. As a result, usability, site aesthetic, responsiveness and security are the 4 factors to measure e-service quality of health information web site. All factors except site aesthetic have significant effects on providing knowledge, security only effects on trust on the web site.

• International Journal of Computer Science & Network Security
• /
• 제24권7호
• /
• pp.55-58
• /
• 2024

IoT is a technology that unites the digital world by changing how people and machines interact with one another on the user interface. The Internet of Things has now entered the field of web development and increases user interaction with websites. And establish a clever and important position in the field of development. A web application is a piece of software that works via the Internet using web technology and web browsers to carry out particular tasks or functions. IoT is playing a bigger part in web development and designers are feeling more pressure to produce well-defined online outcomes.

• 정보보호학회논문지
• /
• 제18권5호
• /
• pp.135-148
• /
• 2008

인터넷이 발전함에 따라 웹 애플리케이션을 이용한 서비스가 대중화되었고, 웹 애플리케이션의 취약점을 목표로 하는 공격들도 증가하게 되었다. 많은 웹 공격 중의 하나인 SQL Injection 공격은 민감한 데이터를 처리하는 곳에서는 매우 치명적이고 위험하기 때문에 이를 탐지하고 예방하기 위한 연구들이 다양하게 이루어져 왔다. 이로 인하여 SQL Injection 공격들이 많이 감소했지만 아직도 이를 우회하는 방법들이 존재하며, 기존의 연구 방법들 또한 매우 복잡하여 실제 웹 애플리케이션에 적용하여 사용하기 어렵다. 따라서 본 논문에서는 SQL Injection 공격 탐지를 위해 웹 애플리케이션에 고정되어 있는 정적 SQL 질의와 사용자로부터 생성되는 동적 SQL 질의의 애트리뷰트 값을 제거한 정적 및 동적 분석 방법을 제안하고, 실험을 통하여 효율성을 검증하였다.