KR102363404B1 - 웹 방화벽과 취약점 분석도구의 연동방법 - Google Patents

웹 방화벽과 취약점 분석도구의 연동방법 Download PDF

Info

Publication number
KR102363404B1
KR102363404B1 KR1020190134058A KR20190134058A KR102363404B1 KR 102363404 B1 KR102363404 B1 KR 102363404B1 KR 1020190134058 A KR1020190134058 A KR 1020190134058A KR 20190134058 A KR20190134058 A KR 20190134058A KR 102363404 B1 KR102363404 B1 KR 102363404B1
Authority
KR
South Korea
Prior art keywords
vulnerability
source code
web
analysis tool
firewall
Prior art date
Application number
KR1020190134058A
Other languages
English (en)
Other versions
KR20190125251A (ko
Inventor
김진수
Original Assignee
(주)트리니티소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020120068202A external-priority patent/KR20140017708A/ko
Application filed by (주)트리니티소프트 filed Critical (주)트리니티소프트
Priority to KR1020190134058A priority Critical patent/KR102363404B1/ko
Publication of KR20190125251A publication Critical patent/KR20190125251A/ko
Application granted granted Critical
Publication of KR102363404B1 publication Critical patent/KR102363404B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3604Software analysis for verifying properties of programs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer And Data Communications (AREA)

Abstract

개시된 내용은 웹 방화벽과 취약점 분석도구의 연동방법에 관한 것으로서, 웹사이트 보호에 사용되는 웹 방화벽과 웹 소스코드의 근본 취약점 정보를 제공하는 소스코드 취약점 분석도구의 상호연동을 통해 방어 및 탐지체계 효율을 높이고, 소스코드 취약점 분석도구의 분석절차 및 승인절차를 통해 웹 사이트에 취약점이 존재하지 않는 보안 무결성이 보장된 코드만을 선별적으로 웹 서버에 업로드하도록 하며, 탐지된 소스코드 취약점 분석의 정확도를 높이기 위해 소스코드 취약요소에 가상의 값을 입력하고 추적하여 소스코드 취약점을 검증할 수 있다.

Description

웹 방화벽과 취약점 분석도구의 연동방법{Method of interworking web-firewall and weak point analyzer}
본 발명은 웹 방화벽과 취약점 분석도구의 연동방법에 관한 것이다.
최근 들어 인터넷 기술의 발달에 따라 응용프로그램에 대한 취약점이 심각한 문제로 부각되면서 많은 웹 응용프로그램들에 대한 취약점 점검이 이루어졌음에도 불구하고 웹서버 침해사고는 계속 증가하고 있다.
특히 아직도 많은 웹 서버들이 대부분 용이하게 관리가 되지 않아 많은 취약점을 내포하고 있으므로, 웹 서버 공격에 대비하여 주기적으로 이들에 대한 취약점 점검을 수행하고, 이에 대한 보완을 수행해야 하여, 대규모 도메인을 갖는 웹 서버들을 관리하는 곳이나 웹 컨텐츠의 빈번한 변화를 갖는 곳에서는 이들에 대한 관리에 어려움을 갖고 있다.
따라서 대규모 도메인을 갖는 웹 서버들 또는 웹 컨텐츠의 빈번한 변화를 갖는 웹 서버에 대하여 최소의 시간과 노력으로 취약점 점검 및 취약점 최신 상세 정보를 제공하는 도구가 요청되어 왔다.
한편, 관리적 측면에서도 대부분의 웹 서버를 운영하는 기업이나 조직 등은 전문적인 보안 지식이 빈약한 상태인데, 특히 시/군/구 지방자치단체나 교육관련 기관 등과 같이 공공성을 띠는 조직에서 예컨대 교내의 단과대학, 연구소, 교수, 학생 홈페이지와 같이 일부 메뉴로 운영 중인 경우에는 보안이 전무한 상태이다. 그리고 현실적으로도 이러한 관리적 사각지대에서 많은 보안 사고가 발생하고 있으며, 따라서 웹 소스 관리 및 웹 취약점 관리가 절실히 필요하다.
대한민국 공개특허공보 제10-2009-0038683호 2009. 4. 21. 대한민국 등록특허공보 제10-0926735호 2009. 11. 6. 대한민국 등록특허공보 제10-0670209호 2007. 1. 10. 대한민국 등록특허공보 제10-0653122호 2006. 11. 27.
본 발명은, 웹사이트 보호에 사용되는 웹 방화벽과 웹 소스코드의 근본 취약점 정보를 제공하는 소스코드 취약점 분석도구의 상호연동을 통해 방어 및 탐지체계 효율을 높이기 위한 웹 방화벽과 취약점 분석도구의 연동방법을 제공한다.
본 발명은, 소스코드 취약점 분석도구의 분석절차 및 승인절차를 통해 웹 사이트에 취약점이 존재하지 않는 보안 무결성이 보장된 코드만을 선별적으로 웹 서버에 업로드하도록 하는 웹 방화벽과 취약점 분석도구의 연동방법을 제공한다.
본 발명은, 탐지된 소스코드 취약점 분석의 정확도를 높이기 위해 소스코드 취약요소에 가상의 값을 입력하고, 추적하여 소스코드 취약점을 검증하도록 하는 웹 방화벽과 취약점 분석도구의 연동방법을 제공한다.
본 발명의 제 1 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법은, 웹 방화벽에서 취약점이 탐지되는지를 판단하고, 취약점이 탐지되면 탐지결과를 소스코드 취약점 분석도구로 전송하는 단계와, 소스코드 취약점 분석도구에서 취약점이 탐지되는지를 판단하고, 취약점이 탐지되면 웹 방화벽으로부터 전송받은 탐지결과와 비교하여 동일한 공격유형이 존재하는지를 판단하는 단계와, 동일한 공격유형이 존재하면, 동일한 페이지가 존재하는지를 판단하고, 동일한 공격유형이 존재하지 않으면 결과를 삭제하는 단계, 그리고 동일한 페이지가 존재하면 위험도를 상향조정 및 관리자에게 메일, 문자로 통보하며, 동일한 페이지가 존재하지 않으면 결과를 삭제하는 단계를 포함할 수 있다.
또한, 본 발명의 제 1 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법은, 소스코드 취약점 분석도구에서 취약점이 탐지되는지를 판단하고, 취약점이 탐지되면 탐지결과를 웹 방화벽으로 전송하는 단계와, 웹 방화벽에서 취약점이 탐지되는지를 판단하고, 취약점이 탐지되면 소스코드 취약점 분석도구로부터 전송받은 탐지결과와 비교하여 동일한 공격유형이 존재하는지를 판단하는 단계와, 동일한 공격유형이 존재하면, 동일한 페이지가 존재하는지를 판단하고, 동일한 공격유형이 존재하지 않으면 결과를 삭제하는 단계, 그리고 동일한 페이지가 존재하면 위험도를 상향조정 및 관리자에게 메일, 문자로 통보하며, 동일한 페이지가 존재하지 않으면 결과를 삭제하는 단계를 포함할 수 있다.
또한, 본 발명의 제 2 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법은, 콘솔의 소스코드 취약점 분석부에서 통신부를 통해 관리서버로 소스코드를 전송하는지를 판단하는 단계와, 관리서버에서 콘솔로부터 전송된 소스코드를 토대로 취약점이 탐지되는지를 판단하는 단계와, 취약점이 탐지되면, 보안수준이 임계치 이하인지를 판단하고, 보안수준이 임계치 이하이면 웹 서버로 소스코드를 전송하는 단계, 그리고 보안수준이 임계치 이하가 아니면, 관리자 승인이 되는지를 판단하고, 관리자 승인이 이루어지면 웹 서버로 소스코드를 전송하며, 관리자 승인이 이루어지지 않으면 관리서버에 대기하는 단계를 포함할 수 있다.
또한, 본 발명의 제 3 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법은, 소스코드 분석도구에서 입력변수가 존재하는지를 판단하고, 입력변수가 존재하면 변수가 포함된 라인을 분석하는 단계와, 라인 분석결과를 토대로 취약점이 분류되는지를 판단하고, 취약점이 분류되지 않으면 삭제처리하는 단계와, 취약점이 분류되면 변수에 공격패턴을 삽입한 가상코드를 재구성하고, 실제 취약점 점검을 수행하는 단계, 그리고 취약점의 판단이 가능한지를 판단하고, 취약점 판단이 가능하면 위험도를 상향하고 취약점 리포트를 생성하며, 취약점 판단이 가능하지 않으면 오탐가능성을 언급하고 취약점 리포트를 생성하는 단계를 포함할 수 있다.
이상에서와 같이 본 발명의 웹 방화벽과 취약점 분석도구의 연동방법에 따르면, 웹사이트 보호에 사용되는 웹 방화벽과 웹 소스코드의 근본 취약점 정보를 제공하는 소스코드 취약점 분석도구를 상호연동시킴으로써 방어 및 탐지체계 효율을 높일 수 있고, 소스코드 취약점 분석도구의 분석절차 및 승인절차를 토대로 웹 사이트에 취약점이 존재하지 않는 보안 무결성이 보장된 코드만을 선별적으로 웹 서버에 업로드할 수 있으며, 소스코드 취약요소에 가상의 값을 입력한 후 이를 추적하여 소스코드 취약점을 검증할 수 있는 효과가 있다.
도 1은 본 발명의 제 1 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법이 적용되는 시스템 구성을 개략적으로 나타낸 블록도,
도 2와 도 3은 본 발명의 제 1 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법의 동작을 설명하기 위한 순서도,
도 4는 본 발명의 제 2 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법이 적용되는 시스템 구성을 개략적으로 나타낸 블록도,
도 5는 본 발명의 제 2 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법의 동작을 설명하기 위한 순서도,
도 6은 본 발명의 제 3 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법의 동작을 설명하기 위한 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명의 웹 방화벽과 취약점 분석도구의 연동방법을 상세하게 설명한다.
본 발명은, 후술되는 각 실시예에서와 같이 웹 방화벽과 소스코드 분석도구의 연동방식, 소스코드 취약점 결과에 따른 관리자 승인 또는 자동승인처리방식, 소스코드의 입력 파라미터에 가상값을 삽입하고 추적하는 방식으로 구분하여 적용할 수 있다.
제 1 실시예
본 발명의 제 1 실시예는 웹 방화벽과 소스코드 분석도구의 연동방식에 대한 것이다.
도 1은 본 발명의 제 1 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법이 적용되는 시스템 구성을 개략적으로 나타낸 블록도이다.
도시된 바와 같이 본 발명의 연동방법이 적용되는 시스템은, 인터넷(10), 방화벽(20), 웹 방화벽(30), 웹 서버(40), 소스코드 취약점 분석도구(50) 등으로 구성된다.
도 2는 본 발명의 제 1 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법의 동작을 설명하기 위한 순서도이다.
도 2에 도시된 바와 같이, 웹 방화벽(30)에서 취약점이 탐지되는지를 판단하고(S11), 취약점이 탐지되면 탐지결과를 소스코드 취약점 분석도구(50)로 전송한다(S12).
그리고 소스코드 취약점 분석도구(50)에서 취약점이 탐지되는지를 판단하고(S13), 취약점이 탐지되면 S12 단계를 통해 웹 방화벽(30)으로부터 전송받은 탐지결과와 비교하여 동일한 공격유형이 존재하는지를 판단한다(S14).
S14 단계의 판단결과 동일한 공격유형이 존재하면 동일한 페이지가 존재하는지를 판단하고(S15), 동일한 공격유형이 존재하지 않으면 결과를 삭제한다(S16).
본 명세서에서 "동일한 페이지"란 소스코드 취약점 분석도구(50)에서 탐지된 취약점과 동일한 취약점을 포함하고 있는 URL 페이지를 의미한다.
그리고 S15 단계의 판단결과 동일한 페이지가 존재하면 위험도를 상향조정 및 관리자에게 메일, 문자 등으로 통보하며(S17), 동일한 페이지가 존재하지 않으면 결과를 삭제한다(S18).
즉 본 발명의 제 1 실시예에 의한 결과연동을 나타낸 도 2에 따르면, 웹 방화벽(30)에서 탐지된 공격시도는 특정 페이지에 대한 특정 취약점 형태로 표현되고, 해당 정보를 소스코드 취약점 분석도구(50)로 전송시키고, 해당 정보는 소스코드 취약점 분석도구(50)에 저장되며, 소스코드 취약점 분석도구(50)에서 확인된 결과와 비교하게 된다. 만약 소스코드 취약점과 웹 방화벽(30)에서 공격시도된 페이지 및 취약점이 일치하는 경우, 보안위험도를 상향하고, 관리자에게 메일, 문자 등으로 통보한다.
도 3은 본 발명의 제 1 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법의 동작을 설명하기 위한 순서도이다. 도 3은 상술한 도 2의 순서도와는 달리 웹 방화벽(30)에서 소스코드 취약점 분석도구(50)로부터 전송된 탐지결과를 토대로 처리하는 방식을 나타낸 도면이다.
도 3에 도시된 바와 같이, 소스코드 취약점 분석도구(50)에서 취약점이 탐지되는지를 판단하고(S21), 취약점이 탐지되면 탐지결과를 웹 방화벽(30)으로 전송한다(S22).
그리고 웹 방화벽(30)에서 취약점이 탐지되는지를 판단하고(S23), 취약점이 탐지되면 S22 단계를 통해 소스코드 취약점 분석도구(50)로부터 전송받은 탐지결과와 비교하여 동일한 공격유형이 존재하는지를 판단한다(S24).
S24 단계의 판단결과 동일한 공격유형이 존재하면 동일한 페이지가 존재하는지를 판단하고(S25), 동일한 공격유형이 존재하지 않으면 결과를 삭제한다(S26).
그리고 S25 단계의 판단결과 동일한 페이지가 존재하면 위험도를 상향조정 및 관리자에게 메일, 문자 등으로 통보하며(S27), 동일한 페이지가 존재하지 않으면 결과를 삭제한다(S28).
즉 본 발명의 제 1 실시예에 의한 또 다른 결과연동을 나타낸 도 3에 따르면, 소스코드 취약점 분석도구(50)에서 탐지된 결과는 특정 소스 및 특정 취약점 형태로 표현된다. 이때 정보를 웹 방화벽(30)으로 전송시켜 웹 방화벽(30)의 특정 페이지에 대한 룰을 구동하거나, 룰을 신규로 생성하는 기능을 수행한다. 또한, 웹 방화벽(30)에서 탐지된 결과페이지 및 취약점과 소스코드 취약점 분석도구(50)에서 전송된 결과와 일치하는 경우 보안위험도를 상향하고, 관리자에게 메일, 문자 등으로 통보한다.
제 2 실시예
본 발명의 제 2 실시예는 소스코드 취약점 결과에 따른 관리자 승인 또는 자동승인처리방식에 대한 것이다.
도 4는 본 발명의 제 2 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법이 적용되는 시스템 구성을 개략적으로 나타낸 블록도이다.
도시된 바와 같이 본 발명의 연동방법이 적용되는 시스템은, 콘솔(100), 관리서버(200), 웹 서버(300) 등으로 구성된다.
콘솔(100)은 통신부(110)와 소스코드 취약점 분석부(120)로 구성된다.
관리서버(200)는 통신부(210), 소스코드 저장부(220), 소스코드 취약점 분석부(230), 소스코드 결과저장부(240), 취약점 관리부(250)로 구성된다.
웹 서버(300)는 통신부(310)와 소스코드 저장처리부(320)로 구성된다.
도 5는 본 발명의 제 2 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법의 동작을 설명하기 위한 순서도이다.
우선, 콘솔(100)의 소스코드 취약점 분석부(120)에서 통신부(110)를 통해 관리서버(200)로 소스코드를 전송하는지를 판단한다(S31).
관리서버(200)에서는 콘솔(100)로부터 전송된 소스코드를 토대로 취약점이 탐지되는지를 판단한다(S32).
취약점이 탐지되면, 보안수준이 임계치 이하인지를 판단하고(S33), 보안수준이 임계치 이하이면 웹 서버(300)로 소스코드를 전송한다(S34).
보안수준이 임계치 이하가 아니면, 관리자 승인이 되는지를 판단하고(S35), 관리자 승인이 이루어지면 웹 서버(300)로 소스코드를 전송하며(S36), 관리자 승인이 이루어지지 않으면 관리서버(200)에 대기한다(S37).
여기서 관리자 승인은 관리 서버로부터 웹서버로 소스코드를 전송하는 것에 대한 승인을 말하는 것을 의미한다.
즉 본 발명의 제 2 실시예에 의한 취약점결과 처리절차를 나타낸 도 5에 따르면, 개발자의 개발코드는 매니저 서버로 전송되고, 관리자의 승인이 있는 경우에만 안전하게 웹 서버로 전달할 수 있다. 또한, 특정 보안수준에 도달한 경우에는 자동으로 웹 서버로 전달할 수 있다.
제 3 실시예
본 발명의 제 3 실시예는 소스코드의 입력 파라미터에 가상값을 삽입하고 추적하는 방식에 대한 것이다.
도 6은 본 발명의 제 3 실시예에 따른 웹 방화벽과 취약점 분석도구의 연동방법의 동작을 설명하기 위한 순서도이다.
우선, 소스코드 분석도구에서 입력변수가 존재하는지를 판단하고(S41), 입력변수가 존재하면 변수가 포함된 라인을 분석한다(S42).
그리고 라인 분석결과를 토대로 취약점이 분류되는지를 판단하고(S43), 취약점이 분류되지 않으면 삭제처리한다(S44).
그러나 취약점이 분류되면 변수에 공격패턴을 삽입한 가상코드를 재구성하고(S45), 실제 취약점 점검을 수행한다(S46).
이후, 취약점의 판단이 가능한지를 판단하고(S47), 취약점 판단이 가능하면 위험도를 상향하고 취약점 리포트를 생성하며(S48), 취약점 판단이 가능하지 않으면 오탐가능성을 언급하고 취약점 리포트를 생성한다(S49).
상기에서 취약점 판단이 가능하다는 것은 상기 취약점 점검(S46) 결과 상기 공격패턴을 삽입한 가상코드의 URL 페이지에 취약점이 존재하는 것으로 판단되는 것을 의미한다.
즉 본 발명의 제 3 실시예에 의한 소스코드 가상점검 절차를 나타낸 도 6에 따르면, 소스코드 취약점을 탐지한 경우 해당 소스코드의 입력 파라미터에 가상의 값을 입력하고 관련 흐름을 표시하여, 취약점 오탐을 검증하는 방법을 제공한다.
다음은, SQL Injection이 존재하는 샘플 소스를 참고하여 전술한 소스코드 가상점검 절차의 일 예를 나타낸 것이다.
A. 취약점이 존재하는 소스를 분석한다.
1 : variable = 입력(“param1”);
2 : 코드..;
3 : 코드..;
4 : 코드..;
5 : <%=variable%>;
6 : SQL = select 조건 where 조건 = 'variable';
7 : 코드..;
8 : 코드..;
B. 변수가 존재하는 라인만을 추출하고, 취약점을 분석하여 SQL Injection이라고 판단한다.
1 : variable = 입력(“param1”);
5 : <%=variable%>;
6 : SQL = select 조건 where 조건 = 'variable';
C. 해당 변수에 SQL Injection 관련 가상 취약점 패턴을 삽입한다.
1 : variable = 입력(“INJECTED”);
5 : <%=INJECTED %>;
6 : SQL = select 조건 where 조건 = 'INJECTED';
D. 가상의 코드로 실제 웹 서버에 공격패턴을 전송하고 취약점 가능성을 확인한다.
a.jsp?param='INJECTED
SQL Injection의 경우, 500번 관련 응답코드 혹은 에러문자열이 발생된 경우 실제 공격가능하다라는 위험도에 가중치를 높인 취약점 리포트를 제공한다.
여기에서, 상술한 본 발명에서는 바람직한 실시예를 참조하여 설명하였지만, 해당 기술분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경할 수 있음을 이해할 수 있을 것이다.
10 : 인터넷 20 : 방화벽
30 : 웹 방화벽 40 : 웹 서버
50 : 소스코드 취약점 분석도구 100 : 콘솔
110 : 통신부 120 : 소스코드 취약점 분석부
200 : 관리서버 210 : 통신부
220 : 소스코드 저장부 230 : 소스코드 취약점 분석부
240 : 소스코드 결과저장부 250 : 취약점 관리부
300 : 웹 서버 310 : 통신부
320 : 소스코드 저장처리부

Claims (2)

  1. 관리서버는 콘솔의 소스코드 취약점 분석부로부터 통신부를 통해 소스코드를 전송받는 단계,
    상기 관리서버에서 콘솔로부터 전송된 소스코드를 토대로 취약점이 탐지되는지를 판단하는 단계,
    상기 관리서버는 취약점이 탐지되면, 보안수준이 임계치 이하인지를 판단하고, 보안수준이 임계치 이하이면 웹 서버로 상기 소스코드를 전송하는 단계, 그리고
    상기 관리서버는 보안수준이 임계치 이하가 아니면, 관리자로 부터 상기 소스코드를 웹서버로 전송하는 것에 대한 승인이 입력되는 경우에만 상기 웹 서버로 상기 소스코드를 전송하는 단계
    를 포함하는 웹 방화벽과 취약점 분석도구의 연동방법.
  2. 소스코드 분석도구에서 입력변수가 존재하는지를 판단하고, 입력변수가 존재하면 변수가 포함된 라인을 분석하는 단계,
    라인 분석결과를 토대로 취약점이 분류되는지를 판단하고, 취약점이 분류되지 않으면 삭제처리하는 단계,
    입력변수 관련 취약점이 분류되면 변수에 공격패턴을 삽입한 가상코드를 재구성하고, 실제 취약점 점검을 수행하는 단계, 그리고
    상기 취약점 점검 결과 상기 공격패턴을 삽입한 가상코드의 URL 페이지에 취약점이 존재하는 것으로 판단되면 위험도를 상향하고 취약점 리포트를 생성하는 단계를 포함하는 웹 방화벽과 취약점 분석도구의 연동방법.
KR1020190134058A 2012-06-25 2019-10-25 웹 방화벽과 취약점 분석도구의 연동방법 KR102363404B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190134058A KR102363404B1 (ko) 2012-06-25 2019-10-25 웹 방화벽과 취약점 분석도구의 연동방법

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020120068202A KR20140017708A (ko) 2012-06-25 2012-06-25 웹 방화벽과 취약점 분석도구의 연동방법
KR1020190134058A KR102363404B1 (ko) 2012-06-25 2019-10-25 웹 방화벽과 취약점 분석도구의 연동방법

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020120068202A Division KR20140017708A (ko) 2012-06-25 2012-06-25 웹 방화벽과 취약점 분석도구의 연동방법

Publications (2)

Publication Number Publication Date
KR20190125251A KR20190125251A (ko) 2019-11-06
KR102363404B1 true KR102363404B1 (ko) 2022-02-15

Family

ID=80325645

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190134058A KR102363404B1 (ko) 2012-06-25 2019-10-25 웹 방화벽과 취약점 분석도구의 연동방법

Country Status (1)

Country Link
KR (1) KR102363404B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080229423A1 (en) * 2004-06-17 2008-09-18 International Business Machines Corporation Probabilistic mechanism to determine level of security for a software package
KR100939020B1 (ko) 2009-06-09 2010-01-27 주식회사 이븐스타 웹 소스 분석 시스템 및 방법

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060062882A (ko) * 2004-12-06 2006-06-12 한국전자통신연구원 웹 응용프로그램 취약점 분석 지원 방법
KR100670209B1 (ko) 2004-12-23 2007-01-16 한국전자통신연구원 파라미터 상태 추적을 통한 웹 응용프로그램 취약점의소스코드 분석 장치 및 방법
KR100653122B1 (ko) 2005-08-31 2006-12-01 학교법인 대전기독학원 한남대학교 안전한 소프트웨어 개발을 위한 룰 기반의 실시간 탐지시스템 및 방법
KR100835820B1 (ko) * 2006-07-25 2008-06-05 에스케이 텔레콤주식회사 통합 인터넷 보안 시스템 및 방법
KR20090038683A (ko) 2007-10-16 2009-04-21 한국전자통신연구원 자동 취약점 진단 웹 방화벽 및 이를 이용한 취약점 진단방법
KR101001132B1 (ko) * 2008-02-22 2010-12-15 엔에이치엔비즈니스플랫폼 주식회사 웹 어플리케이션의 취약성 판단 방법 및 시스템
KR100926735B1 (ko) 2009-04-24 2009-11-16 주식회사 이븐스타 웹 소스 보안 관리 시스템 및 방법
KR101147251B1 (ko) * 2010-07-13 2012-05-18 (주)트리니티소프트 웹 서버의 보안장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080229423A1 (en) * 2004-06-17 2008-09-18 International Business Machines Corporation Probabilistic mechanism to determine level of security for a software package
KR100939020B1 (ko) 2009-06-09 2010-01-27 주식회사 이븐스타 웹 소스 분석 시스템 및 방법

Also Published As

Publication number Publication date
KR20190125251A (ko) 2019-11-06

Similar Documents

Publication Publication Date Title
US10621359B2 (en) Amalgamating code vulnerabilities across projects
US9251282B2 (en) Systems and methods for determining compliance of references in a website
Ab Rahman et al. Forensic-by-design framework for cyber-physical cloud systems
KR101001132B1 (ko) 웹 어플리케이션의 취약성 판단 방법 및 시스템
Ingham et al. Comparing anomaly detection techniques for http
US8800042B2 (en) Secure web application development and execution environment
US11165820B2 (en) Web injection protection method and system
Kalhoro et al. Extracting key factors of cyber hygiene behaviour among software engineers: A systematic literature review
JP5852676B2 (ja) 権限昇格攻撃へのコンピュータ・ソフトウェア・アプリケーションの脆弱性を判定するための方法、コンピュータ・プログラム、およびシステム
CN102546576A (zh) 一种网页挂马检测和防护方法、系统及相应代码提取方法
CN104021467A (zh) 保护移动终端支付安全的方法和装置以及移动终端
US12028380B2 (en) Systems and methods for network risk management, cyber risk management, security ratings, and evaluation systems and methods of the same
Cyriac et al. Is Cyber security enough-A study on big data security Breaches in financial institutions
US8935778B2 (en) Maintaining data integrity
KR102363404B1 (ko) 웹 방화벽과 취약점 분석도구의 연동방법
CN111241547B (zh) 一种越权漏洞的检测方法、装置及系统
KR20140017708A (ko) 웹 방화벽과 취약점 분석도구의 연동방법
Priya et al. Rational unified treatment for web application vulnerability assessment
Kumar Enhance web application security using obfuscation
Kumar Reverse Engineering and Vulnerability Analysis in Cyber Security.
US11582250B2 (en) Scanning of content in weblink
Han Detection of web application attacks with request length module and regex pattern analysis
CN110287393A (zh) 一种网页获取方法、装置、设备及计算机可读存储介质
Murniati et al. Analysis of Web Server Security Against Structure Query Language Injection Attacks in ASEAN Senior High Schools
CN118036009A (zh) 处理安全漏洞的方法、装置及电子设备

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant