KR100939020B1 - 웹 소스 분석 시스템 및 방법 - Google Patents
웹 소스 분석 시스템 및 방법 Download PDFInfo
- Publication number
- KR100939020B1 KR100939020B1 KR1020090050826A KR20090050826A KR100939020B1 KR 100939020 B1 KR100939020 B1 KR 100939020B1 KR 1020090050826 A KR1020090050826 A KR 1020090050826A KR 20090050826 A KR20090050826 A KR 20090050826A KR 100939020 B1 KR100939020 B1 KR 100939020B1
- Authority
- KR
- South Korea
- Prior art keywords
- source code
- web
- web source
- analysis
- file
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
Claims (21)
- 웹 소스를 저장하며, 상기 저장된 웹 소스에 대한 웹 소스 정보를 관리하는 웹 서버; 및상기 웹 서버에 제공할 웹 소스 정보 및 상기 웹 서버로부터 전송된 웹 소스 정보 중 적어도 하나에 기초하여, 웹 소스 코드의 취약점 분석 및 상기 웹 소스 코드가 표현되는 URL(Uniform Resource Locator) 페이지의 취약점 분석을 수행하는 관리 서버를 포함하고,상기 관리 서버는상기 웹 소스 코드에 대해 원시코드 형태 파일과 원시코드 형태가 아닌 파일로 분리하고, 상기 원시코드 형태가 아닌 파일을 원시코드 형태의 파일로 디컴파일하며, 상기 분리된 또는 디컴파일된 원시코드 형태의 파일에 대해 변수 추적에 따른 변수처리결과 분석, 취약한 함수 사용 여부 분석, 설정파일 검사를 통한 설정 값 분석 중 적어도 하나의 탐지 방식을 이용하여 웹 소스 코드의 취약점 탐지를 수행하는 제1 분석부; 및상기 웹 소스 코드가 표현되는 URL 링크를 위하여 웹 브라우저를 실행하여 상기 웹 소스 코드가 표현되는 URL 페이지 정보를 수집하며, 상기 수집된 상기 웹 소스 코드가 표현되는 URL 페이지에 대해 공격문자열 삽입에 따른 HTTP 응답 헤더(Response Header)의 정의된 응답코드 포함여부 확인, 공격문자열 삽입에 따른 HTTP 응답 바디(Response Body)의 정의된 문자열 포함여부 확인 중 적어도 하나의 탐지 방식을 이용하여 취약점 탐지를 수행하는 제2 분석부를 포함하는 것을 특징으로 하는 웹 소스 분석 시스템.
- 삭제
- 제1항에 있어서, 상기 제1 분석부는ASP/ASPX 탐지 모듈, JAVA/JSP 탐지 모듈, PHP 탐지 모듈 중 적어도 하나를 포함하는 것을 특징으로 하는 웹 소스 분석 시스템.
- 삭제
- 제1항 또는 제3항에 있어서,상기 관리 서버는 상기 웹 소스 코드의 취약점 분석 및 상기 웹 소스 코드가 표현되는 URL 페이지의 취약점 분석을 순차적으로 또는 병렬적으로 수행하는 것을 특징으로 하는 웹 소스 분석 시스템.
- 입력되는 웹 소스 코드를 처리하는 사용자 요청 처리부;상기 웹 소스 코드의 취약점을 분석하는 제1 분석부; 및상기 웹 소스 코드가 표현되는 URL 페이지의 취약점을 분석하는 제2 분석부를 포함하고,상기 제1 분석부는, 상기 웹 소스 코드에 대해 원시코드 형태 파일과 원시코드 형태가 아닌 파일로 분리하는 파일 분리기; 상기 원시코드 형태가 아닌 파일을 원시코드 형태의 파일로 디컴파일하는 디컴파일러; 및 상기 분리된 또는 디컴파일된 원시코드 형태의 파일에 대해 변수 추적에 따른 변수처리결과 분석, 취약한 함수 사용 여부 분석, 설정파일 검사를 통한 설정 값 분석 중 적어도 하나의 탐지 방식을 이용하여 웹 소스 코드의 취약점 탐지를 수행하는 제1 탐지 모듈을 포함하며,상기 제2 분석부는, 상기 웹 소스 코드가 표현되는 URL 링크를 위하여 웹 브라우저를 실행하는 웹 브라우저 모듈; 상기 웹 소스 코드가 표현되는 URL 페이지 정보를 수집하는 정보 수집 모듈; 및 상기 웹 소스 코드가 표현되는 URL 페이지에 대해 공격문자열 삽입에 따른 HTTP 응답 헤더(Response Header)의 정의된 응답코드 포함여부 확인, 공격문자열 삽입에 따른 HTTP 응답 바디(Response Body)의 정의된 문자열 포함여부 확인 중 적어도 하나의 탐지 방식을 이용하여 취약점 탐지를 수행하는 제2 탐지 모듈을 포함하는 것을 특징으로 하는 관리 서버.
- 제6항에 있어서, 상기 사용자 요청 처리부는입력되는 웹 소스 코드를 저장하는 코드 저장 처리기; 및상기 웹 소스 코드를 확장자에 따라 분리하는 확장자 분석기를 포함하는 것을 특징으로 하는 관리 서버.
- 삭제
- 제6항 또는 제7항에 있어서,상기 제1 탐지 모듈은 ASP/ASPX 탐지 모듈, JAVA/JSP 탐지 모듈, PHP 탐지 모듈 중 적어도 하나를 포함하는 것을 특징으로 하는 관리 서버.
- 제6항 또는 제7항에 있어서,상기 제1 탐지 모듈은 실시간 탐지 및 비실시간 탐지를 수행하는 것을 특징으로 하는 관리 서버.
- 삭제
- 삭제
- 삭제
- 제6항 또는 제7항에 있어서,상기 제2 분석부는 취약점 탐지 결과를 항목별 가중치를 적용하여 처리하는 탐지 결과 처리기를 더 포함하는 것을 특징으로 하는 관리 서버.
- a) 웹 소스 코드에 대해 원시코드 형태 파일과 원시코드 형태가 아닌 파일로 분리하여, 상기 원시코드 형태가 아닌 파일을 원시코드 형태의 파일로 디컴파일하며, 상기 분리된 또는 디컴파일된 원시코드 형태의 파일에 대해 변수 추적에 따른 변수처리결과 분석, 취약한 함수 사용 여부 분석, 설정파일 검사를 통한 설정 값 분석 중 적어도 하나의 탐지 방식을 이용하여 웹 소스 코드의 취약점 탐지를 수행하는 단계; 및b) 상기 웹 소스 코드가 표현되는 URL 링크를 위하여 웹 브라우저를 실행하여, 상기 웹 소스 코드가 표현되는 URL 페이지 정보를 수집한 후, 상기 웹 소스 코드가 표현되는 URL 페이지에 대해 공격문자열 삽입에 따른 HTTP 응답 헤더(Response Header)의 정의된 응답코드 포함여부 확인, 공격문자열 삽입에 따른 HTTP 응답 바디(Response Body)의 정의된 문자열 포함여부 확인 중 적어도 하나의 탐지 방식을 이용하여 취약점 탐지를 수행하는 단계를 포함하는 웹 소스 분석 방법.
- 삭제
- 삭제
- 삭제
- 삭제
- 제15항에 있어서, 상기 a) 단계 이전에상기 웹 소스 코드를 확장자에 따라 분리하는 단계를 더 포함하는 것을 특징으로 하는 웹 소스 분석 방법.
- 제15항 또는 제20항에 따른 웹 소스 분석 방법을 수행하는 프로그램이 기록된 컴퓨터 판독가능 기록매체.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090050826A KR100939020B1 (ko) | 2009-06-09 | 2009-06-09 | 웹 소스 분석 시스템 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090050826A KR100939020B1 (ko) | 2009-06-09 | 2009-06-09 | 웹 소스 분석 시스템 및 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100939020B1 true KR100939020B1 (ko) | 2010-01-27 |
Family
ID=41810310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090050826A KR100939020B1 (ko) | 2009-06-09 | 2009-06-09 | 웹 소스 분석 시스템 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100939020B1 (ko) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101158712B1 (ko) | 2011-12-01 | 2012-07-03 | 주식회사 이븐스타 | 웹방화벽과 웹소스 취약점 분석툴의 연동 방법 및 그를 이용한 보안 시스템 |
KR101424504B1 (ko) | 2012-12-26 | 2014-08-01 | 주식회사 윈스 | 포지티브 방식을 이용한 통합보안관제시스템 |
KR101579493B1 (ko) * | 2015-01-08 | 2015-12-23 | 주식회사 파수닷컴 | 소스코드 이관제어 방법 및 이를 위한 컴퓨터 프로그램, 그 기록매체 |
KR101725450B1 (ko) * | 2015-10-26 | 2017-04-11 | 고려대학교 산학협력단 | 웹 페이지에 안전성을 제공하기 위한 평판관리 시스템 및 방법 |
CN108595952A (zh) * | 2018-03-30 | 2018-09-28 | 全球能源互联网研究院有限公司 | 一种电力移动应用软件漏洞的检测方法及系统 |
KR20190125251A (ko) * | 2012-06-25 | 2019-11-06 | (주)트리니티소프트 | 웹 방화벽과 취약점 분석도구의 연동방법 |
KR20220042860A (ko) * | 2020-09-28 | 2022-04-05 | 네이버클라우드 주식회사 | 원격 파일 실행 취약점 진단 방법, 장치 및 컴퓨터 프로그램 |
CN115694982A (zh) * | 2022-10-30 | 2023-02-03 | 济南三泽信息安全测评有限公司 | 网络攻防虚拟仿真系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050100278A (ko) * | 2004-04-13 | 2005-10-18 | 한국전자통신연구원 | 웹 응용프로그램의 취약점 분석 장치 및 방법 |
-
2009
- 2009-06-09 KR KR1020090050826A patent/KR100939020B1/ko active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050100278A (ko) * | 2004-04-13 | 2005-10-18 | 한국전자통신연구원 | 웹 응용프로그램의 취약점 분석 장치 및 방법 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101158712B1 (ko) | 2011-12-01 | 2012-07-03 | 주식회사 이븐스타 | 웹방화벽과 웹소스 취약점 분석툴의 연동 방법 및 그를 이용한 보안 시스템 |
KR102363404B1 (ko) | 2012-06-25 | 2022-02-15 | (주)트리니티소프트 | 웹 방화벽과 취약점 분석도구의 연동방법 |
KR20190125251A (ko) * | 2012-06-25 | 2019-11-06 | (주)트리니티소프트 | 웹 방화벽과 취약점 분석도구의 연동방법 |
KR101424504B1 (ko) | 2012-12-26 | 2014-08-01 | 주식회사 윈스 | 포지티브 방식을 이용한 통합보안관제시스템 |
US10331439B2 (en) | 2015-01-08 | 2019-06-25 | Sparrow Co., Ltd. | Source code transfer control method, computer program therefor, and recording medium therefor |
WO2016111525A1 (ko) * | 2015-01-08 | 2016-07-14 | 주식회사 파수닷컴 | 소스코드 이관제어 방법 및 이를 위한 컴퓨터 프로그램, 그 기록매체 |
KR101579493B1 (ko) * | 2015-01-08 | 2015-12-23 | 주식회사 파수닷컴 | 소스코드 이관제어 방법 및 이를 위한 컴퓨터 프로그램, 그 기록매체 |
KR101725450B1 (ko) * | 2015-10-26 | 2017-04-11 | 고려대학교 산학협력단 | 웹 페이지에 안전성을 제공하기 위한 평판관리 시스템 및 방법 |
CN108595952A (zh) * | 2018-03-30 | 2018-09-28 | 全球能源互联网研究院有限公司 | 一种电力移动应用软件漏洞的检测方法及系统 |
KR20220042860A (ko) * | 2020-09-28 | 2022-04-05 | 네이버클라우드 주식회사 | 원격 파일 실행 취약점 진단 방법, 장치 및 컴퓨터 프로그램 |
KR102408392B1 (ko) * | 2020-09-28 | 2022-06-13 | 네이버클라우드 주식회사 | 원격 파일 실행 취약점 진단 방법, 장치 및 컴퓨터 프로그램 |
CN115694982A (zh) * | 2022-10-30 | 2023-02-03 | 济南三泽信息安全测评有限公司 | 网络攻防虚拟仿真系统 |
CN115694982B (zh) * | 2022-10-30 | 2023-09-05 | 济南三泽信息安全测评有限公司 | 网络攻防虚拟仿真系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100939020B1 (ko) | 웹 소스 분석 시스템 및 방법 | |
US20090292743A1 (en) | Modeling user access to computer resources | |
US20090293121A1 (en) | Deviation detection of usage patterns of computer resources | |
Aloraini et al. | An empirical study of security warnings from static application security testing tools | |
US20080005281A1 (en) | Error capture and reporting in a distributed computing environment | |
Shatnawi | Deriving metrics thresholds using log transformation | |
SA515360536B1 (ar) | طريقة وجهاز وبرنامج حاسب لمراقبة نظام تحكم صناعي | |
Felderer et al. | A systematic classification of security regression testing approaches | |
Li et al. | CLORIFI: software vulnerability discovery using code clone verification | |
Chen et al. | Extracting and studying the Logging-Code-Issue-Introducing changes in Java-based large-scale open source software systems | |
Bunke | Software-security patterns: degree of maturity | |
Bao et al. | V-SZZ: automatic identification of version ranges affected by CVE vulnerabilities | |
Mitropoulos et al. | Fatal injection: A survey of modern code injection attack countermeasures | |
KR100926735B1 (ko) | 웹 소스 보안 관리 시스템 및 방법 | |
US20070240225A1 (en) | Architecture for automatic HTTPS boundary identification | |
Macak et al. | Process mining usage in cybersecurity and software reliability analysis: A systematic literature review | |
Marashdih et al. | An enhanced static taint analysis approach to detect input validation vulnerability | |
Alenezi et al. | Developer companion: A framework to produce secure web applications | |
Hassanshahi et al. | Gelato: Feedback-driven and guided security analysis of client-side web applications | |
KR101847277B1 (ko) | 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템 | |
Oliva et al. | Experience report: How do structural dependencies influence change propagation? an empirical study | |
Bier et al. | Mitigating remote code execution vulnerabilities: a study on tomcat and android security updates | |
JP2012234540A (ja) | 悪性コード検出システム及び悪性コード検出方法 | |
Nagashree et al. | An early risk detection and management system for the cloud with log parser | |
US20110246965A1 (en) | Correcting document generation for policy compliance |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130115 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140109 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20141024 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20160108 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20170117 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20200120 Year of fee payment: 11 |