KR101001132B1 - 웹 어플리케이션의 취약성 판단 방법 및 시스템 - Google Patents
웹 어플리케이션의 취약성 판단 방법 및 시스템 Download PDFInfo
- Publication number
- KR101001132B1 KR101001132B1 KR1020080016046A KR20080016046A KR101001132B1 KR 101001132 B1 KR101001132 B1 KR 101001132B1 KR 1020080016046 A KR1020080016046 A KR 1020080016046A KR 20080016046 A KR20080016046 A KR 20080016046A KR 101001132 B1 KR101001132 B1 KR 101001132B1
- Authority
- KR
- South Korea
- Prior art keywords
- vulnerability
- attack
- fixed factor
- determination
- factor
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000004044 response Effects 0.000 claims abstract description 26
- 238000002347 injection Methods 0.000 claims description 31
- 239000007924 injection Substances 0.000 claims description 31
- 238000003780 insertion Methods 0.000 claims description 9
- 230000037431 insertion Effects 0.000 claims description 9
- 238000007689 inspection Methods 0.000 claims description 8
- 238000012360 testing method Methods 0.000 claims description 6
- 238000012216 screening Methods 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Health & Medical Sciences (AREA)
- Economics (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
Claims (17)
- 웹 어플리케이션 취약성 판단 시스템의 고정인자 선별부에 의해, 검사 대상 웹사이트로부터 추출된 유알엘(Uniform Resource Locator)링크의 인자들 중 고정인자를 선별하는 단계;중복검사 판단부에 의해, 상기 선별된 고정인자에 대해 취약성 판단 완료 여부를 판단하는 단계;상기 선별된 고정인자가 취약성 판단이 완료되지 않은 것인 경우, 공격패턴 삽입부에 의해, 상기 고정인자에 대한 입력값에 각 공격 유형 별로 소정 공격 패턴을 삽입하는 단계; 및취약성 판단부에 의해, 상기 각 공격 유형별 소정 공격패턴이 삽입된 유알엘 링크의 입력에 대한 응답을 분석하여 각 공격 유형에 대한 상기 고정인자의 취약성을 판단하는 단계를 포함하고,상기 취약성 판단 완료 여부는, 상기 유알엘 링크 및 상기 선별된 고정인자에 취약성이 존재하거나 존재하지 않는 경우에 대한 판단 완료를 포함하는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 방법.
- 제1항에 있어서, 상기 고정인자 선별 단계 이전에,상기 검사 대상 웹사이트의 메인 웹페이지로부터 상기 유알엘 링크를 추출하는 단계를 더 포함하는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 방법.
- 제1항에 있어서, 상기 고정인자 선별단계에서,상기 고정인자는 상기 유알엘 링크에 포함된 인자 구분 기호의 바로 좌측에 위치하는 인자로 정의되는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 방법.
- 제1항에 있어서, 상기 공격 패턴 삽입 단계에서,상기 공격 패턴은 상기 공격 패턴이 상기 각 공격 유형 별로 저장되어 있는 제1 데이터베이스로부터 추출되는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 방법.
- 제1항에 있어서,각 공격 유형별 공격 패턴은 문자 형태로 구성되는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 방법.
- 제1항에 있어서,상기 공격 유형은 SQL Injection, Blind SQL Injection, 및 XSS(Cross-Site Scripting)중 적어도 하나를 포함하는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 방법.
- 제1항에 있어서, 상기 취약성 판단 단계 이후에,상기 취약성 판단 단계에서 상기 고정인자가 취약한 것으로 판단된 경우, 상기 고정인자가 취약한 것으로 판단된 공격 유형 별로 상기 고정인자와 상기 웹 사이트의 유알엘 주소를 매핑시킨 취약성 판단결과를 생성하는 단계를 더 포함하는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 방법.
- 제1항에 있어서, 상기 취약성 판단 단계에서,상기 공격 패턴이 삽입된 유알엘 링크의 입력에 대한 HTTP 응답 패턴과 기 저장되어 있는 취약성 결과 패턴과의 비교를 통해 상기 고정인자의 취약성을 판단하는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 방법.
- 제1항에 있어서, 상기 취약성 판단 단계 이후에,취약성 판단이 완료된 유알엘 링크 정보를 저장하는 단계를 더 포함하는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 방법.
- 제1항 내지 제9항에 기재된 방법을 수행하기 위한 프로그램이 기록된 컴퓨터로 판독 가능한 기록매체.
- 검사 대상 웹사이트로 추출된 유알엘(Uniform Resource Locator)링크의 인자들 중 고정인자를 선별하는 고정인자 선별부;상기 선별된 고정인자에 대해 취약성 판단 완료 여부를 판단하는 중복검사 판단부;상기 선별된 고정인자가 취약성 판단이 완료되지 않은 것인 경우, 상기 고정인자에 대한 입력값에 각 공격 유형 별로 소정 공격 패턴을 삽입하는 공격 패턴 삽입부; 및상기 각 공격 유형별 소정 공격패턴이 삽입된 상기 유알엘 링크의 입력에 대한 응답을 분석하여 상기 고정인자의 취약성을 판단하는 취약성 판단부를 포함하고,상기 취약성 판단 완료 여부는, 상기 유알엘 링크 및 상기 선별된 고정인자에 취약성이 존재하거나 존재하지 않는 경우에 대한 판단 완료를 포함하는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 시스템.
- 제11항에 있어서,상기 검사 대상 웹사이트의 메인 웹페이지로부터 상기 유알엘 링크를 추출하여 상기 고정인자 선별부로 제공하는 유알엘 링크 추출부를 더 포함하는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 시스템.
- 제11항에 있어서,상기 고정인자 선별부는 상기 유알엘 링크에 포함된 인자 구분 기호의 바로 좌측에 위치하는 인자를 고정인자로 선별하는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 시스템.
- 제11항에 있어서,상기 각 공격 유형 별 공격 패턴이 저장되어 있는 제1 데이터베이스; 및취약성 판단이 완료된 유알엘 링크 정보가 저장되어 있는 제2 데이터베이스를 더 포함하고,상기 공격 패턴 삽입부는 상기 제1 데이터베이스로부터 상기 공격 패턴을 추출하여 상기 선별된 고정인자의 입력값에 삽입하는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 시스템.
- 제11항에 있어서,상기 공격 유형은 SQL Injection, Blind SQL Injection, 및 XSS(Cross-Site Scripting) 중 적어도 하나를 포함하는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 시스템.
- 제11항에 있어서,상기 취약성 판단부에 의해 상기 고정인자가 취약한 것으로 판단된 경우,상기 고정인자가 취약한 것으로 판단된 공격 유형 별로 상기 고정인자와 상기 웹 사이트의 유알엘 주소를 매핑시킨 취약성 판단결과를 생성하는 판단결과 생성부를 더 포함하는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 시스템.
- 제11항에 있어서,상기 취약성 판단부는 상기 공격 패턴이 삽입된 유알엘 링크의 입력에 대한 HTTP 응답 패턴과 기 저장되어 있는 취약성 결과 패턴과의 비교를 통해 상기 고정인자의 취약성을 판단하는 것을 특징으로 하는 웹 어플리케이션의 취약성 판단 시스템.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080016046A KR101001132B1 (ko) | 2008-02-22 | 2008-02-22 | 웹 어플리케이션의 취약성 판단 방법 및 시스템 |
US12/135,267 US8533328B2 (en) | 2008-02-22 | 2008-06-09 | Method and system of determining vulnerability of web application |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080016046A KR101001132B1 (ko) | 2008-02-22 | 2008-02-22 | 웹 어플리케이션의 취약성 판단 방법 및 시스템 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090090685A KR20090090685A (ko) | 2009-08-26 |
KR101001132B1 true KR101001132B1 (ko) | 2010-12-15 |
Family
ID=40589521
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080016046A KR101001132B1 (ko) | 2008-02-22 | 2008-02-22 | 웹 어플리케이션의 취약성 판단 방법 및 시스템 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8533328B2 (ko) |
KR (1) | KR101001132B1 (ko) |
Families Citing this family (43)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8171555B2 (en) | 2004-07-23 | 2012-05-01 | Fortinet, Inc. | Determining technology-appropriate remediation for vulnerability |
US7774848B2 (en) | 2004-07-23 | 2010-08-10 | Fortinet, Inc. | Mapping remediation to plurality of vulnerabilities |
US7761920B2 (en) | 2004-09-03 | 2010-07-20 | Fortinet, Inc. | Data structure for policy-based remediation selection |
US7665119B2 (en) | 2004-09-03 | 2010-02-16 | Secure Elements, Inc. | Policy-based selection of remediation |
US7672948B2 (en) * | 2004-09-03 | 2010-03-02 | Fortinet, Inc. | Centralized data transformation |
US7703137B2 (en) * | 2004-09-03 | 2010-04-20 | Fortinet, Inc. | Centralized data transformation |
US8365290B2 (en) * | 2009-05-15 | 2013-01-29 | Frederick Young | Web application vulnerability scanner |
CN101964025B (zh) * | 2009-07-23 | 2016-02-03 | 北京神州绿盟信息安全科技股份有限公司 | Xss检测方法和设备 |
US8387017B2 (en) * | 2009-09-03 | 2013-02-26 | International Business Machines Corporation | Black box testing optimization using information from white box testing |
JP5725529B2 (ja) * | 2010-07-21 | 2015-05-27 | 日本電気株式会社 | Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム |
US9747187B2 (en) | 2010-10-27 | 2017-08-29 | International Business Machines Corporation | Simulating black box test results using information from white box testing |
JP5522850B2 (ja) * | 2010-11-10 | 2014-06-18 | 京セラコミュニケーションシステム株式会社 | 脆弱性診断装置 |
JP5618861B2 (ja) * | 2011-02-23 | 2014-11-05 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
US8949992B2 (en) * | 2011-05-31 | 2015-02-03 | International Business Machines Corporation | Detecting persistent vulnerabilities in web applications |
KR101086451B1 (ko) * | 2011-08-30 | 2011-11-25 | 한국전자통신연구원 | 클라이언트 화면 변조 방어 장치 및 방법 |
US9213832B2 (en) | 2012-01-24 | 2015-12-15 | International Business Machines Corporation | Dynamically scanning a web application through use of web traffic information |
US8997235B2 (en) * | 2012-02-07 | 2015-03-31 | Microsoft Technology Licensing, Llc | Adaptive fuzzing system for web services |
US9027141B2 (en) * | 2012-04-12 | 2015-05-05 | Netflix, Inc. | Method and system for improving security and reliability in a networked application environment |
KR102363404B1 (ko) * | 2012-06-25 | 2022-02-15 | (주)트리니티소프트 | 웹 방화벽과 취약점 분석도구의 연동방법 |
CN102970282B (zh) * | 2012-10-31 | 2015-08-19 | 北京奇虎科技有限公司 | 网站安全检测系统 |
BR112015014307A2 (pt) | 2012-12-19 | 2017-07-11 | Bayer Cropscience Ag | difluorometil-nicotínico- tetrahidronaftil carboxamidas |
US9904786B2 (en) | 2013-01-17 | 2018-02-27 | International Business Machines Corporation | Identifying stored security vulnerabilities in computer software applications |
US9135152B2 (en) | 2013-05-29 | 2015-09-15 | International Business Machines Corporation | Optimizing test data payload selection for testing computer software applications via computer networks |
US9323649B2 (en) | 2013-09-30 | 2016-04-26 | International Business Machines Corporation | Detecting error states when interacting with web applications |
GB2519159A (en) * | 2013-10-14 | 2015-04-15 | Ibm | Security testing of web applications with specialised payloads |
CN104636664B (zh) * | 2013-11-08 | 2018-04-27 | 腾讯科技(深圳)有限公司 | 基于文档对象模型的跨站脚本攻击漏洞检测方法及装置 |
CN103647678A (zh) * | 2013-11-08 | 2014-03-19 | 北京奇虎科技有限公司 | 一种网站漏洞在线验证方法及装置 |
US11838851B1 (en) | 2014-07-15 | 2023-12-05 | F5, Inc. | Methods for managing L7 traffic classification and devices thereof |
US11895138B1 (en) * | 2015-02-02 | 2024-02-06 | F5, Inc. | Methods for improving web scanner accuracy and devices thereof |
US11575524B2 (en) | 2015-10-12 | 2023-02-07 | Servicenow, Inc. | Selective encryption delineation |
US10601781B2 (en) | 2015-10-12 | 2020-03-24 | Servicenow, Inc. | Selective encryption delineation |
US10320761B2 (en) | 2015-11-02 | 2019-06-11 | Servicenow, Inc. | Selective encryption configuration |
US10019529B2 (en) | 2015-11-19 | 2018-07-10 | International Business Machines Corporation | Identifying webpages accessible by unauthorized users via URL guessing or network sniffing |
US10614221B2 (en) * | 2016-11-16 | 2020-04-07 | International Business Machines Corporation | Method and apparatus for security testing of application flows that cannot be automated through HTTP replay |
CN110998577A (zh) * | 2017-08-01 | 2020-04-10 | 三菱电机株式会社 | 安全诊断装置以及安全诊断方法 |
KR102254197B1 (ko) * | 2019-03-28 | 2021-05-21 | 네이버클라우드 주식회사 | 웹페이지 취약점 진단 방법, 장치 및 컴퓨터 프로그램 |
US11921862B2 (en) * | 2020-02-07 | 2024-03-05 | Jpmorgan Chase Bank , N.A. | Systems and methods for rules-based automated penetration testing to certify release candidates |
US11363057B1 (en) * | 2020-04-17 | 2022-06-14 | American Express Travel Related Services Company, Inc. | Computer-based system for analyzing and quantifying cyber threat patterns and methods of use thereof |
KR102459418B1 (ko) * | 2020-09-28 | 2022-10-27 | 네이버클라우드 주식회사 | 취약점 진단방법 및 이를 위한 진단장치 |
KR102497201B1 (ko) * | 2020-09-28 | 2023-02-08 | 네이버클라우드 주식회사 | Sql 주입 취약점 진단 방법, 장치 및 컴퓨터 프로그램 |
KR102433386B1 (ko) * | 2020-09-28 | 2022-08-18 | 네이버클라우드 주식회사 | 취약점 진단방법 및 이를 위한 진단장치 |
KR102287394B1 (ko) * | 2020-12-21 | 2021-08-06 | 한국인터넷진흥원 | 익스플로잇 공격 유형 분류 방법 및 그 장치 |
US20230205882A1 (en) * | 2021-12-29 | 2023-06-29 | Microsoft Technology Licensing, Llc | Detecting malicious queries using syntax metrics |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070156644A1 (en) * | 2006-01-05 | 2007-07-05 | Microsoft Corporation | SQL injection detector |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7051368B1 (en) * | 1999-11-09 | 2006-05-23 | Microsoft Corporation | Methods and systems for screening input strings intended for use by web servers |
AU2001237696A1 (en) * | 2000-03-03 | 2001-09-12 | Sanctum Ltd. | System for determining web application vulnerabilities |
US7343626B1 (en) * | 2002-11-12 | 2008-03-11 | Microsoft Corporation | Automated detection of cross site scripting vulnerabilities |
JP4298622B2 (ja) * | 2004-09-29 | 2009-07-22 | 株式会社東芝 | 不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラム |
US7774459B2 (en) * | 2006-03-01 | 2010-08-10 | Microsoft Corporation | Honey monkey network exploration |
-
2008
- 2008-02-22 KR KR1020080016046A patent/KR101001132B1/ko active IP Right Grant
- 2008-06-09 US US12/135,267 patent/US8533328B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070156644A1 (en) * | 2006-01-05 | 2007-07-05 | Microsoft Corporation | SQL injection detector |
Also Published As
Publication number | Publication date |
---|---|
US8533328B2 (en) | 2013-09-10 |
US20090119777A1 (en) | 2009-05-07 |
KR20090090685A (ko) | 2009-08-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101001132B1 (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
Gupta et al. | XSS-secure as a service for the platforms of online social network-based multimedia web applications in cloud | |
US10248782B2 (en) | Systems and methods for access control to web applications and identification of web browsers | |
JP5497173B2 (ja) | Xss検出方法および装置 | |
Gupta et al. | PHP-sensor: a prototype method to discover workflow violation and XSS vulnerabilities in PHP web applications | |
US8800042B2 (en) | Secure web application development and execution environment | |
EP2104901B1 (en) | Method and apparatus for detecting computer fraud | |
JP4625246B2 (ja) | クロスサイトスクリプティング脆弱性の自動検出 | |
CN108989355B (zh) | 一种漏洞检测方法和装置 | |
US20060259973A1 (en) | Secure web application development environment | |
Buchanan et al. | Analysis of the adoption of security headers in HTTP | |
JP2013520719A (ja) | ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム | |
WO2015142697A1 (en) | Methods for determining cross-site scripting and related vulnerabilities in applications | |
CN112929390B (zh) | 一种基于多策略融合的网络智能监控方法 | |
CN102546576A (zh) | 一种网页挂马检测和防护方法、系统及相应代码提取方法 | |
CN111756724A (zh) | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 | |
CN110879891A (zh) | 基于web指纹信息的漏洞探测方法及装置 | |
CN105404816A (zh) | 基于内容的漏洞检测方法及装置 | |
CN110765333A (zh) | 采集网站信息的方法及装置、存储介质、电子装置 | |
CN117336098B (zh) | 一种网络空间数据安全性监测分析方法 | |
Deeptha et al. | Website Vulnerability Scanner | |
JP5082555B2 (ja) | セキュリティ検査用モデル生成装置,セキュリティ検査用モデル検査装置,およびセキュリティ検査用モデル生成プログラム | |
CN111523123A (zh) | 一种网站漏洞智能检测方法 | |
Sagala et al. | Testing and comparing result scanning using web vulnerability scanner | |
CN112287349A (zh) | 安全漏洞检测方法及服务端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
N231 | Notification of change of applicant | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
J201 | Request for trial against refusal decision | ||
AMND | Amendment | ||
B701 | Decision to grant | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130926 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140925 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20151127 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20161013 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20171012 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20191010 Year of fee payment: 10 |