• 한국문헌정보학회지
• /
• 제39권2호
• /
• pp.237-258
• /
• 2005

대부분의 공공도서관들은 인터넷 사용이 일반화됨에 따라 웹을 통해 다양한 정보서비스를 제공하고 있다. 본 연구에서는 이러한 공공도서관 웹사이트를 보편적 서비스 관점에서 살펴본 뒤, 국내외 웹 접근성 기준을 선행 연구의 근거로 하여 공공도서관의 웹 접근성을 평가하였다. 서울시 공공도서관 5곳을 선정하여 기술적으로 평가 가능한 요소를 중심으로 분석하였다. 평가결과 대부분의 공공도서관들은 공공기관의 다양한 이용자 계층의 접근을 고려하지 못하고 있는 것으로 나타났다. 이에 본고에서는 인터넷을 통한 공공도서관의 보편적 서비스 제공을 위해 전제되어야 하는 한 가지 방안으로서 웹 접근성 향상을 제시하고자 하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권10호
• /
• pp.3750-3770
• /
• 2021

This study investigates open-source dynamic XSS filters used as security devices in web applications to account for the effectiveness of filters in protecting against XSS attacks. The experiment involves twelve representative filters, which are examined individually by placing them into the final output function of a custom-built single-input-form web application. To assess the effectiveness of the filters in their tasks of sanitizing XSS payloads and in preserving benign payloads, a black-box testing method is applied using an automated XSS testing framework. The result in working with malicious and benign payloads shows an important trade-off in the filters' tasks. Because the filters that only check for dangerous or safe elements, they seem to neglect to validate their values. As some safe values are mistreated as dangerous elements, their benign payload function is lost in the way. For the filters to be more effective, it is suggested that they should be able to validate the respective values of malicious and benign payloads; thus, minimizing the trade-off. This particular assessment of XSS filters provides important insight regarding the filters that can be used to mitigate threats, including the possible configurations to improve them in handling both malicious and benign payloads.

• 한국문헌정보학회지
• /
• 제42권3호
• /
• pp.345-364
• /
• 2008

웹을 중심으로 한 지식정보 서비스의 비중과 중요성은 지속적으로 증가하고 있다. 특히 공공적 성격을 갖는 국립도서관의 경우에는 보편적 서비스를 중심으로 한 평등한 접근성이 기본적으로 보장될 것이 요구된다. 본 연구에서는 웹 접근성 평가도구인 KADO-WAH를 활용하여 16개의 주요 국가의 국립도서관을 선정하여 웹 접근성을 점검하고 비교분석하였다. 이를 통하여 웹 접근성의 국가별 특징과 차이점을 파악하고 향후 방향을 제시하였다.

• 한국컴퓨터정보학회논문지
• /
• 제20권9호
• /
• pp.97-104
• /
• 2015

Recently, the need for real-time systems which are providing various types of information that occur in large quantities in IoT environment is increasing. In this paper, we propose a middleware system which can monitor in real time on a web environment. The proposed system is designed to be integrated by using communication functions provided by a network operating system and external sensors. The proposed system is compared with an existing system and analysed by the server performance testing tool.

• International Journal of Computer Science & Network Security
• /
• 제23권2호
• /
• pp.199-202
• /
• 2023

Carriage return (CR) and line feed (LF), also known as CRLF injection is a type of vulnerability that allows a hacker to enter special characters into a web application, altering its operation or confusing the administrator. Log poisoning and HTTP response splitting are two prominent harmful uses of this technique. Additionally, CRLF injection can be used by an attacker to exploit other vulnerabilities, such as cross-site scripting (XSS). Email injection, also known as email header injection, is another way that can be used to modify the behavior of emails. The Open Web Application Security Project (OWASP) is an organization that studies vulnerabilities and ranks them based on their level of risk. According to OWASP, CRLF vulnerabilities are among the top 10 vulnerabilities and are a type of injection attack. Automated testing can help to quickly identify CRLF vulnerabilities, and is particularly useful for companies to test their applications before releasing them. However, CRLF vulnerabilities can also lead to the discovery of other high-risk vulnerabilities, and it fosters a better approach to mitigate CRLF vulnerabilities in the early stage and help secure applications against known vulnerabilities. Although there has been a significant amount of research on other types of injection attacks, such as Structure Query Language Injection (SQL Injection). There has been less research on CRLF vulnerabilities and how to detect them with automated testing. There is room for further research to be done on this subject matter in order to develop creative solutions to problems. It will also help to reduce false positive alerts by checking the header response of each request. Security automation is an important issue for companies trying to protect themselves against security threats. Automated alerts from security systems can provide a quicker and more accurate understanding of potential vulnerabilities and can help to reduce false positive alerts. Despite the extensive research on various types of vulnerabilities in web applications, CRLF vulnerabilities have only recently been included in the research. Utilizing automated testing as a recurring task can assist companies in receiving consistent updates about their systems and enhance their security.

• 정보처리학회논문지D
• /
• 제11D권4호
• /
• pp.855-864
• /
• 2004

정형적 명세를 이용하면 원시코드의 복잡함에 방해받지 않고 필요한 구현 정보를 테스트 프로그래머가 얻을 수 있다. 특히 웹 기반 소프트웨어는 정형적 명세로 시스템에 대한 외부 입력과 반응을 잘 나타낼 수가 있다. 이 논문에서는 정형적 명세를 이용하여 테스트 데이터를 추출하는 방법을 제안한다. 복잡하고 구성요소가 다양한 웹 어플리케이션의 기능을 Object-Z 정형 명세언어를 이용하여 핵심적으로 나타낸다. 정형 명세에서부터 상태모델을 구성하고 최상위 레벨의 STD에서 세부적으로 STD를 추가하여 테스트 시나리오를 추출하였다. 실험 대상은 보안과 정확성을 요하는 웹 뱅킹 시스템으로 정하고 계좌이체 과정의 테스트 데이터를 추출하였다. 제안한 방법은 사용기반 테스트 기법과 결합하여 웹 소프트웨어의 테스트 자동화에 중요한 요소가 될 것이다.

• 디자인학연구
• /
• 제17권2호
• /
• pp.221-230
• /
• 2004

많은 사용성 평가 방법들, 특히 실험실 기반의 사용성 평가방법이 사용자 인터페이스 개발을 위해 광범위하게 활용되고 있다. 그러나 이러한 사용성 평가 방법들을 수행하기 위해서는 많은 비용과 시간, 노력이 필요하며, 더 나아가 부자연스러운 실험 환경으로 인한 부작용과 사용자들의 직접적인 참여의 부족 등과 같은 여러 가지 문제점들을 가지고 있다. 본 연구는 이러한 문제점들을 해결하기 위해 카드소팅 기법을 기본으로 하는 웹 기반의 참여적 도구를 개발하였다. 개발된 참여적 도구는 사용자들이 자신의 컴퓨터 운용 환경에서 웹을 통하여 자연스럽게 카드소팅 테스트에 참여할 수 있도록 고안되었다. 사용자들은 인터페이스 요소들로 구성된 카드들을 컴퓨터 스크린 상에서 드래깅하고 그룹핑 함으로써 자신만의 인터페이스 구조를 구성할 수 있다. 따라서 해당 웹사이트의 구조에 대해 자신이 가지고 있는 멘탈모델을 자연스럽게 표현해낼 수 있다. 또한 사용자들이 테스트에 참여하는 과정 중에 생성된 모든 데이터들은 자료 수집을 위한 원격 서버에 자동으로 전송되어 저장된다. 본 연구에서 개발된 도구의 활용을 통해 웹 디자이너들은 많은 시간과 노력이 소모되는 번거로운 과정을 거치지 않고도 보다 효과적인 카드소팅 테스트를 수행할 수 있다. 따라서 인포메이션 아키텍처를 설계하는 과정에서 실제 사용자들의 적극적인 참여를 이끌어내기 위한 효과적인 도구로 활용할 수 있을 젓이다.

• 정보처리학회논문지C
• /
• 제13C권4호
• /
• pp.435-440
• /
• 2006

XML 암호화는 주로 웹 콘텐츠를 위한 기밀성 서비스 제공에 사용되는데, 물론 응용 영역이 반드시 웹 콘텐츠로만 제한되는 것은 아니다. XML 암호화는 데이터 파일 단위로 적용될 수도 있지만, 주로 XML 문서에 부분적으로 적용되면서 다양한 암호화 범위를 지원한다. 이러한 특성으로 인해 XML 암호화는 여러 웹 애플리케이션에서 SSL/TLS, IPsec, PGP, S/MIME 등의 여타 기밀성 프로토콜보다 효율적인 수단이 될 수 있다. XML 암호화의 성공적 정착을 위해서는 구현 제품들 사이의 상호운용성이 필수적인데, 이를 위해서는 제품들이 XML 암호화 표준을 정확히 구현해야 한다. 표준적합성 시험에서는 제품들이 관련 표준을 정확히 구현하였는지를 시험한다. 본 논문에서는 XML 암호화 제품을 위한 표준적합성 시험 방법을 제시하고 구현한다. 이를 위해 먼저 W3C에서 개발된 XML 암호화 표준을 먼저 살펴보고, 적합성 시험을 위한 항목들을 도출한다. 그런 다음 시험 방법을 제안하는데, 여기에서는 암호화 기능과 복호화 기능을 분리하여 시험하는 방식을 취한다. 또한 제안된 방법을 GUI 기반의 시험 도구로 구현하여 시험 결과를 제시한다.

• 정보보호학회논문지
• /
• 제14권4호
• /
• pp.3-11
• /
• 2004

웹 상에서의 전자상거래의 활성화와 더불어 XML이 관련된 응용과 업계 표준의 기반이 되고 있으며, XML 데이터뿐만 아니라 임의의 콘텐츠에 대한 서명을 XML로 표현하여 무결성, 인증, 부인방지의 보안 기능을 제공하는 XML 전자서명에 대한 표준화가 W3C와 IETF의 공동 작업으로 수행되고 있다. 이러한 추세에 따라 XML 전자서명을 구현한 제품 개발이 증가하고 있으며, XML 전자서명을 구현한 제품은 다른 제품들 간의 상호운용성을 지원하기 위해 관련 기술 표준을 정확하게 준수하여 구현되어야 한다. 본 논문에서는 시험 절차와 시험 케이스 등을 포함하는 XML 전자서명 표준적합성 시험 방법을 제시한다. 시험 케이스들은 XML 서명 표준을 분석하여 도출되었으며, 본 논문에서 제시된 시험 방법을 구현한 XML 표준적합성 시험 도구의 설계와 용법을 설명한다.

• 한국산업정보학회:학술대회논문집
• /
• 한국산업정보학회 2002년도 춘계학술대회 논문집
• /
• pp.306-315
• /
• 2002

웹의 급속한 성장과 함께 기존의 시스템들이 웹을 기반으로 통합되며, 다양한 시스템들이 개발되고 있다. 일반적인 어플리케이션과는 달리 웹 어플리케이션들은 다양한 기술의 접목으로 개발된다는 점과 본래의 복잡성으로 인해 개발과 관리에 있어 어려움은 더욱 증대된다. 또한 급변하는 비즈니스 환경과 사용자들의 요구사항에 순응하기 위해서는 지속적인 진화가 요구된다. 본 논문에서는 웹 어플리케이션의 구조 정보인 링크 정보를 추출하고, 웹사이트에 대한 유용한 정보를 담고 있는 로그 파일을 분석하여 웹 어플리케이션의 보다 효율적인 개발과 유지보수에 활용하는 방법을 제시한다. 본 논문에서 추출한 정보들은 웹 어플리케이션 테스팅을 위한 기초적인 정보가 될 수 있으며 추출한 정보들을 웹 테스팅에 적용하는 방법을 설명한다. 그리고 링크 정보 추출과 웹 로그 분석을 수행하기 위해 개발된 시스템에 대해 기술한다.