KR20050100278A - 웹 응용프로그램의 취약점 분석 장치 및 방법 - Google Patents
웹 응용프로그램의 취약점 분석 장치 및 방법 Download PDFInfo
- Publication number
- KR20050100278A KR20050100278A KR1020040025501A KR20040025501A KR20050100278A KR 20050100278 A KR20050100278 A KR 20050100278A KR 1020040025501 A KR1020040025501 A KR 1020040025501A KR 20040025501 A KR20040025501 A KR 20040025501A KR 20050100278 A KR20050100278 A KR 20050100278A
- Authority
- KR
- South Korea
- Prior art keywords
- web
- page
- pages
- vulnerability
- web application
- Prior art date
Links
Classifications
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16K—VALVES; TAPS; COCKS; ACTUATING-FLOATS; DEVICES FOR VENTING OR AERATING
- F16K31/00—Actuating devices; Operating means; Releasing devices
- F16K31/02—Actuating devices; Operating means; Releasing devices electric; magnetic
- F16K31/04—Actuating devices; Operating means; Releasing devices electric; magnetic using a motor
- F16K31/05—Actuating devices; Operating means; Releasing devices electric; magnetic using a motor specially adapted for operating hand-operated valves or for combined motor and hand operation
-
- E—FIXED CONSTRUCTIONS
- E03—WATER SUPPLY; SEWERAGE
- E03D—WATER-CLOSETS OR URINALS WITH FLUSHING DEVICES; FLUSHING VALVES THEREFOR
- E03D13/00—Urinals ; Means for connecting the urinal to the flushing pipe and the wastepipe; Splashing shields for urinals
- E03D13/005—Accessories specially adapted for urinals
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Hydrology & Water Resources (AREA)
- Public Health (AREA)
- Water Supply & Treatment (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 웹 응용프로그램에서 발생할 수 있는 취약점을 분석하는 웹 응용프로그램 취약점 분석 장치 및 방법에 관한 것으로, 상기 웹 응용프로그램에 의해 웹 서버의 보안상 침해의 소지가 있는 취약점을 내포할 것으로 예상되는 웹 페이지들의 정보를 제공해줌으로써, 보안상의 취약점을 미리 진단 및 분석하여 상기 웹 응용프로그램에서 발생할 수 있는 보안사고를 미연에 방지하는 것이다.
이에, 본 발명은 웹 응용프로그램들 간의 관계를 도식화해주는 연관성 분석 맵과, 웹 페이지들을 방문하여 게시판, 다운로드 스크립트, 관리자 페이지, 사용자 입력이 가능한 페이지, 숨김 속성변수를 포함한 페이지, 불필요하거나 개발 중인 페이지, 개발자의 주석을 포함한 페이지, 회원 페이지 등의 정보를 수집하는 정보수집모듈과 상기 정보수집모듈에 의해 식별된 웹 페이지들을 대상으로 모의공격수행을 지원하는 모의공격수행 지원모듈로 구성된다.
Description
본 발명은 웹 응용프로그램의 취약점 분석 장치 및 방법에 관한 것으로, 더욱 상세하게는 웹 응용프로그램의 보안상에 있어 취약점을 분석하기 위해서 웹 응용프로그램 간의 관계를 도식화한 연관성 분석 맵을 제공하고, 웹 응용프로그램에 대한 모의공격수행을 지원함으로써 기존 분석 도구의 한계를 벗어나 보안상의 사고를 미연에 방지하도록 하는 것이다.
최근 웹 서비스가 범람하고 웹 인터페이스가 사용자에게 친숙해짐에 따라 전통적 응용프로그램이 웹 기반 시스템으로 통합이 가속화되고 있다.
이러한, 웹 서비스의 발전 속에 웹 응용프로그램 자체의 문제점, 프로그래머의 보안에 대한 무지, 방화벽에서의 차단 불능, 침입탐지 회피 그리고 해킹 도구의 다양화와 같은 역기능이 심각한 문제점으로 부각되고 있다.
기존의 웹 보안은 주로 웹 서버 중심에 대한 것이었으나, 최근에 들어서는 웹 응용프로그램에 대한 보안이 주요 현안이 되고 있다.
이러한, 웹 응용프로그램 보안에 대한 관심이 고조되면서 국외에서는 웹 서비스에 대한 취약성 분석에 대한 연구 및 개발이 진행되고 있고, 국내에서도 웹 응용프로그램 보안에 대한 연구 발표가 증가하고 있다.
그러나, 상기 웹 응용프로그램은 매우 복잡하다. 이러한, 웹 응용프로그램은 수십 개의 파일들 혹은 수십 개의 디렉토리를 담고 있을지 모른다.
이에, 잘 정돈된 방식으로 웹 응용프로그램의 구조를 문서화하면 안전하지 못한 페이지를 추적할 수 있고 효과적인 침입에 대해 꼭 필요한 참조를 제공할 수 있다.
이러한, 웹 응용프로그램 구조의 문서화에는 다음과 같은 정보가 필수적이다.
- 웹 게시판 페이지
- 다운로드 스크립트 페이지
- 웹 관리자 페이지
- 사용자 입력이 가능한 페이지
- 숨김 속성변수를 포함한 페이지
- 불필요하거나 개발 중인 페이지
- 개발자의 주석을 포함한 페이지
- 회원 페이지
그리고, 이러한 웹 응용프로그램 구조를 문서화하는 도구는 다음과 같다.
▶ lynx
많은 유닉스 시스템에서 발견될 수 있는 텍스트 기반의 웹 브라우저로서 웹 페이지의 HTML 소스에 담겨진 모든 링크를 포함하여, 링크를 열거하고 긴 독립변수 스트링을 가진 URL을 찾는데 유용하다.
▶ Wget
윈도우나 유닉스에서 웹사이트의 내용을 다운로드 할 수 있는 명령어-라인 도구로서 응용프로그램이 페이지를 통과하는 모든 독립변수에 대해 출력을 다운로드 한다.
▶ Teleport Pro
윈도우 기반의 도구로서 지시하는 파일의 형태와 깊이를 통제해서 복사본을 저장할 수 있다.
▶ Black Widow
검색에 관한 인터페이스를 제공하고 특정한 정보를 수집함으로서 Teleport의 기능을 확장하며 로컬 하드디스크에 디렉토리로 다운로드 한다.
상기한 몇몇 관련 도구들에서는 로컬 시스템의 미러링 및 원격 사이트와 동일한 디렉토리 구조로서 웹 응용프로그램의 구조를 문서화하는 것을 알 수 있었다.
그러나, 이러한 문서화는 앞에서 언급한 웹페이지 전단과 후단을 포함하는 페이지 간 연관 관계를 파악할 수 없으며, 인증이 필요한 웹 페이지 접근이 불가능한 문제점이 있다.
따라서, 본 발명은 상술한 종래의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 디렉토리 구조가 아닌 맵 구조의 웹 응용프로그램 구조를 문서화하고 각각의 웹 페이지에 대한 취약점 관련 중요정보를 능동적으로 검색할 수 있도록 하는 웹 응용프로그램의 취약점 분석 장치 및 방법을 제공하는데 있다.
상기와 같은 본 발명의 목적을 달성하기 위한 웹 응용프로그램의 취약점 분석 장치는, 웹 응용프로그램들 간의 관계를 도식화해주는 연관성 맵과, 웹 페이지들을 방문하여 게시판, 다운로드 스크립트, 관리자 페이지, 사용자 입력이 가능한 페이지, 숨김 속성변수를 포함한 페이지, 불필요하거나 개발 중인 페이지, 개발자의 주석을 포함한 페이지, 회원 페이지 등의 정보를 수집하는 정보 수집모듈과, 상기 정보 수집모듈에 의해 식별된 웹 페이지들을 대상으로 점검지원 모듈을 이용하여 취약점 점검을 수행하는 모의공격수행 지원모듈로 구성된다.
상기와 같은 본 발명의 목적을 달성하기 위한 웹 응용프로그램의 취약점 분석 방법은, 정보 수집모듈에 의해 웹 페이지들을 방문하여 게시판, 다운로드 스크립트, 관리자 페이지, 사용자 입력이 가능한 페이지, 숨김 속성변수를 포함한 페이지, 불필요하거나 개발 중인 페이지, 개발자의 주석을 포함한 페이지, 회원 페이지 등의 정보를 수집하는 정보수집단계와, 상기 정보수집단계에서 식별된 웹 페이지들을 대상으로 점검지원 모듈을 이용하여 취약점 점검을 수행하는 모의공격수행 지원단계 및 상기 모의공격수행 지원단계에서 소스코드를 다운받은 경우 소스코드를 분석하는 소스코드 분석단계로 이루어진다.
상기한 목적을 달성하기 위한 본 발명은 웹 응용프로그램의 취약점을 분석하는 것을 용이하게 하기 위해서 정보수집모듈과 모의공격수행 지원모듈로 구성된다.
상기 정보수집모듈은 웹 응용프로그램에서 취약할 것으로 예상되는 웹 페이지들을 쉽게 식별할 수 있게 해주는 모듈이고, 모의공격수행 지원모듈은 식별된 웹 페이지들에 대해 점검자가 취약점을 점검하는 과정을 용이하게 해주는 모듈이다.
이하, 본 발명에 따른 실시예를 첨부한 도면을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명에 따른 웹 응용프로그램 취약점 분석 시스템의 구성도이다.
도 1에 도시된 바와 같이 웹 상의 네트워크 구조는 패킷 필터링을 수행하는 1차 방화벽(스크리닝 라우터) 안단에 인터넷에 웹 서비스를 하기 위해 웹 서버를 설치하고, 2차 방화벽 안단에 데이터베이스 서버를 설치한다.
상기 웹 서버는 내부에 위치한 데이터베이스 서버의 정보를 획득하거나 제어가 가능하며, 상기 데이터베이스 서버와 같은 내부 서버의 정보를 외부에서 직접 접근하기는 어렵지만 1차 방화벽 안단에 위치한 웹 서버는 일반 사용자 누구나 접근 가능한 시스템으로 웹 서버의 취약점을 이용하면 내부에 위치한 데이터베이스 서버의 정보를 획득하거나 제어가 가능하다.
도 2는 본 발명에 따른 웹 서버의 취약점 분석 방법의 흐름도이다.
도시된 바와 같이 도 2는 웹 응용프로그램 보안 전문가가 웹 서버의 취약점을 점검하는 과정을 도시화한 것이다.
먼저, 보안 전문가는 웹 데몬이나 연동모듈 및 알려진 응용프로그램 취약점에 대한 점검을 실시한 후, 웹 페이지들을 일일이 방문하면서 다양한 정보를 수집한다(S120).
상기 정보수집단계는 웹 게시판, 다운로드 스크립트, 관리자 페이지, 사용자 입력이 가능한 페이지, 숨김 속성변수를 포함한 페이지, 불필요하거나 개발 중인 페이지, 개발자의 주석을 포함한 페이지, 회원 페이지 등의 정보를 찾아내 수집한다.
상기 언급된 웹 페이지들은 사용자의 입력을 받아 웹 서버에서 처리하는 부분이기 때문에 일반적으로 많은 취약점들이 발견된다.
계속해서, 상기 정보수집단계가 끝나면 점검 대상, 즉 취약할 것으로 예상되는 웹 페이지들에 대한 식별이 가능해 진다.
이때, 상기 보안 전문가는 식별된 웹 페이지들을 대상으로 점검지원 모듈을 이용하여 취약점 점검을 위한 모의공격을 수행한다(S130).
또한, 상기 "모의공격단계"에서 발견된 다양한 취약점을 이용하여 다시 "정보수집단계"에서 새로운 정보를 수집하고, 소스코드를 다운받은 경우에는 "소스코드분석단계"로 넘어간다(S140).
즉, 상기한 정보수집, 모의공격, 소스코드분석 단계는 새로운 정보나 취약점들이 발견될 때마다 서로 순환하면서 웹 응용프로그램 취약점을 분석하게 된다.
이와 같은 통상적인 웹 서버 취약점 분석 절차에서 정보수집단계에서 보안 전문가는 취약점 점검을 수행할 필요성이 있는 웹 페이지들을 찾기 위해 많은 시간을 소요하게 되고, 수작업에 의해 실수로 인해 일부 웹 페이지들에 대해서는 취약점 점검을 수행해야 함에도 불구하고, 수행하지 않을 수 있다.
상기 언급한 문제점들을 해결하기 위해 본 발명은 웹 연관성 분석 모듈을 통해 정보수집단계를 자동화하여 취약점 점검을 수행할 필요성이 있는 웹 페이지들을 식별하여 보안 전문가에게 제공한다.
또한, 통상적인 웹 서버 취약점 분석 절차에서 모의공격단계에서 보안 전문가가 다양한 취약점 점검을 수행하는데 다음 예와 같은 복잡한 과정을 거치게 된다.
가령, 숨김 속성 변수를 조작하기 위해서는 해당 웹 페이지를 로컬에 저장하고, 문서 편집기를 열어 숨김 속성 변수를 조작하고, 링크를 적절히 수정하여 웹 페이지를 저장한 뒤 취약점 점검을 수행할 수 있지만, 본 발명을 이용할 경우 입력 폼 구성 메뉴에서 바로 숨김 속성 변수를 조작하여 취약점 점검을 수행할 수 있다.
도 3은 본 발명의 일실시예에 따른 웹 연관성 분석 모듈 맵을 나타낸 도면이다.
도 3에 도시된 바와 같이 가 표시된 웹 페이지는 개발자의 주석이 포함되어 있음을 의미하고, 가 표시된 웹 페이지는 이메일 주소가 포함되어 있음을 의미하고, 가 표시된 웹 페이지는 숨김 속성의 변수가 존재하는 웹 페이지를 의미한다.
또한, 는 일반 웹 페이지를 의미하며, 취약점이 존재할 가능성이 없는 웹 페이지임을 의미한다. 는 사용자 입력폼이 존재하는 웹 페이지를 의미하며, 일반적으로 이 웹 페이지 자체가 취약점을 가질 가능성은 없지만, 이 웹 페이지와 연결된 웹 페이지에서 취약점이 존재할 가능성이 크고, 이 웹 페이지를 통해 중요한 정보가 전달되기 때문에 일반 웹 페이지와는 다른 모양으로 표시된다.
또한, 는 사용자 입력을 처리하는 웹 페이지로써 일반적으로 취약점이 존재할 가능성이 가장 높은 웹 페이지이다. 이와 같은 결론은 웹 응용프로그램의 모든 취약점들이 사용자의 입력을 받아 웹 서버가 처리하는 과정에서 개발자가 고려하지 못한 방식으로 작동할 때 보안상 문제가 발생한다는 사실에 근거한다.
이와 같이, 각 웹 페이지의 속성을 표시해 주고, 이들 간의 관계를 도식화해주면, 보안 전문가는 웹 응용프로그램의 점검 대상을 매우 용이하게 식별할 수 있다.
즉, 으로 표시되어 있는 웹 페이지들을 모두 점검해야 하며, 으로 표시된 웹 페이지를 참고하면 된다.
특히, 와 같은 웹 페이지는 숨김 속성 변수를 포함하면서 사용자의 입력을 받는다. 이와 같은 경우 사용자 입력을 처리하는 웹 페이지에서 숨김 속성 변수를 이용하여 인증과 같은 중요 행위를 할 수 있기 때문에 특히 상세한 점검을 수행해야 한다.
또한, 다운로드 소스코드 기능은 다운로드 스크립트라는 웹 페이지가 취약점이 존재할 때 가능하다. 많은 웹 게시판에는 첨부 파일 등을 다운받기 위해 다운로드 스크립트가 존재한다. 이런 다운로드 스크립트는 반드시 웹 서버의 첨부 파일과 같은 허용된 파일들만 다운로드 할 수 있어야 하고, 그 외의 모든 파일들에 대해서는 다운로드 할 수 없어야 한다.
하지만, 많은 웹 서버의 다운로드 스크립트에는 파일의 경로 값을 조작함으로써 허용되지 말아야 할 웹 소스코드들을 다운로드받을 수 있다. 보안 전문가는 웹 소스코드들을 다운받아 데이터베이스 계정에 관한 중요한 정보를 획득할 수 있고, 더 나아가 웹 응용프로그램들의 취약점을 매우 용이하게 분석할 수 있다. 그래서 보안 전문가는 다운로드 스크립트의 취약점을 발견하게 되면, 웹 소스코드들을 다운로드받고자 하지만, 매우 방대한 분량의 웹 소스코드를 수작업으로 다운받는 것은 거의 불가능에 가깝다. 따라서, 본 발명에서는 웹 소스코드 다운로드 기능을 이용하여 방대한 웹 소스코드들을 자동으로 다운받을 수 있도록 한다.
상기 도 3을 참조하여 본 발명을 보다 상세하게 설명하면 다음과 같다.
상기 도 3은 특정 사이트에 대해서 연관성 분석 맵을 나타낸 예시도로서, 상기 사이트는 초기 웹 페이지로 을 가지고 있고, 상기 'index.html'은 'info.html', 'login.html', 'notice.html' 의 링크들을 가지고 있음을 알 수 있다.
여기서, 상기 'login.html'이 상기 'index.html'과 아이콘이 다른 것은 상기 'login.html'이 사용자의 입력을 가능하게 하는 Form을 포함하고 있기 때문이다.
상기 'info.html'의 아이콘에 모양의 아이콘이 더 있는 것은 해당 웹 페이지에 이메일 계정 정보가 있다는 것을 뜻한다.
또한, 'read.php'에는 모양의 아이콘이 있는데, 이는 웹 페이지에 주석이 포함되어 있는 것을 의미하며, 상기 '관리자 정보변경.php'에 모양은 웹 페이지에 Hidden 속성 값이 존재하는 것을 의미하는 것이다.
따라서, 보안 전문가는 민감한 정보인 주석을 포함한 웹 페이지가 'read.php'와 '회원관리.php'이고, 이메일 계정정보가 존재하는 웹 페이지는 '회원관리.php'와 'info.html'임을 확인할 수 있다.
특히, 사용자 입력이 가능한 웹 페이지는 'login.html'과 '관리자 정보변경.php'임을 확인할 수 있고, 상기 '관리자 정보변경.php'는 Hidden 속성 변수가 포함되어 있는 것도 알 수 있다.
각 웹 페이지에 대한 정보뿐만 아니라 연관성 분석 맵을 통해 'login.html'에 입력되는 아이디와 패스워드를 이용해서 실제 사용자 인증을 수행하는 부분은 'login_check.php'라는 사실도 확인할 수 있다. 이는 각 웹 페이지간의 연계관계가 도식화되어 있어 가능한 것이다.
또한, 상기 '관리자 정보변경.php'에 Hidden 속성 변수가 존재하는 것을 통해 웹 페이지 내에 Hidden 속성으로 인증에 관한 정보가 숨겨져 있을 거란 추측이 가능하다. 모든 관리자 페이지에 인증이 적절히 수행되는지를 확인하기 위해서는 'login_check.php'이후에 존재하는 URL 들에 대한 직접 접근을 시도해 봄으로써 점검이 가능하다.
이와 같이, 본 발명의 웹 응용프로그램 구조 분석 방법은 상기 웹 응용프로그램을 구성하는 웹 페이지들 간의 상호 연관관계를 분석하여 전체적인 구조를 제시하고, 웹 서버에 관한 중요 정보를 저장하는 파일이 원격에서 접근 가능한지를 분석한다.
또한, PHP, ASP, JSP 등과 같이 웹 서버 스크립트 등이 게시판을 통해 업로드가 가능한지 분석하고, 웹 응용프로그램에서 자주 발견되는 다운로드 스크립트 문제점을 이용하여, 웹 페이지간 연관성 자료를 통해 웹 소스 코드를 다운받음으로써 상기 웹 응용프로그램의 취약점을 용이하게 발견할 수 있다.
이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 또한 설명하였으나, 본 발명은 상기한 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것을 물론이고, 그와 같은 변경은 기재된 청구범위 내에 있게 된다.
이상에 설명한 바와 같이 본 발명에 의하면, 상기 웹 응용프로그램 취약점 분석 시스템은 웹 응용프로그램에서 발생할 수 있는 보안상 취약점을 미리 진단하고 분석하여 보고함으로써 상기 웹 응용프로그램으로 인해 발생할 수 있는 보안사고를 미연에 방지할 수 있는 효과가 있다.
또한, 상기 웹 응용프로그램 취약점 분석 시스템을 사용하여 현재 사용하고 있는 웹 응용프로그램의 보안상 취약점을 용이하게 파악해 미리 보완할 수 있다.
도 1은 본 발명에 따른 웹 응용프로그램 취약점 분석 시스템의 구성도,
도 2는 본 발명에 따른 웹 응용프로그램 취약점 분석 흐름도,
도 3은 본 발명의 일실시예에 따른 웹 연관성 분석 모듈 맵을 나타낸 도면이다.
Claims (3)
- 웹 응용프로그램들 간의 관계를 도식화해주는 연관성 분석 맵;웹 페이지들을 방문하여 게시판, 다운로드 스크립트, 관리자 페이지, 사용자 입력이 가능한 페이지, 숨김 속성변수를 포함한 페이지, 불필요하거나 개발 중인 페이지, 개발자의 주석을 포함한 페이지, 회원 페이지 등의 정보를 수집하는 정보 수집모듈;상기 정보 수집모듈에 의해 식별된 웹 페이지들을 대상으로 점검지원 모듈을 이용하여 취약점 점검을 수행하는 모의공격수행 지원모듈; 및상기 모의공격수행 지원모듈에서 소스코드를 다운받은 경우 소스코드를 분석하는 소스코드 분석모듈로 구성되는 것을 특징으로 하는 웹 응용프로그램의 취약점 분석 장치.
- (a)정보 수집모듈에 의해 웹 페이지들을 방문하여 게시판, 다운로드 스크립트, 관리자 페이지, 사용자 입력이 가능한 페이지, 숨김 속성변수를 포함한 페이지, 불필요하거나 개발 중인 페이지, 개발자의 주석을 포함한 페이지, 회원 페이지 등의 정보를 수집하는 정보수집단계와;(b)상기 정보수집단계에서 식별된 웹 페이지들을 대상으로 점검지원 모듈을 이용하여 취약점 점검을 수행하는 모의공격수행 지원단계; 및(c)상기 모의공격수행 지원단계에서 소스코드를 다운받은 경우 소스코드를 분하는 소스코드 분석단계로 이루어지는 것을 특징으로 하는 웹 응용프로그램의 취약점 분석 방법.
- 제 1항에 있어서,상기 모의공격단계에서 발견된 취약점과 소스코드분석단계에 의해 획득된 정보를 이용해 새로운 정보를 수집하고, 상기 새로운 정보에 의해 취약점들이 발견될 때마다 상기 (a),(b),(c)단계를 순환하며 취약점을 분석하는 것을 특징으로 하는 웹 응용프로그램의 취약점 분석 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020040025501A KR100614931B1 (ko) | 2004-04-13 | 2004-04-13 | 웹 응용프로그램의 취약점 분석 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020040025501A KR100614931B1 (ko) | 2004-04-13 | 2004-04-13 | 웹 응용프로그램의 취약점 분석 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20050100278A true KR20050100278A (ko) | 2005-10-18 |
| KR100614931B1 KR100614931B1 (ko) | 2006-08-25 |
Family
ID=37279163
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020040025501A KR100614931B1 (ko) | 2004-04-13 | 2004-04-13 | 웹 응용프로그램의 취약점 분석 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100614931B1 (ko) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100805316B1 (ko) * | 2007-07-26 | 2008-02-21 | 주식회사 나우콤 | 명령어 코드 통제리스트 기반의 웹 서비스 보안시스템 및그 방법 |
| KR100939020B1 (ko) * | 2009-06-09 | 2010-01-27 | 주식회사 이븐스타 | 웹 소스 분석 시스템 및 방법 |
| KR100968126B1 (ko) * | 2008-02-15 | 2010-07-06 | 한국인터넷진흥원 | 웹쉘 탐지 시스템 및 웹쉘 탐지 방법 |
| US20130055394A1 (en) * | 2011-08-24 | 2013-02-28 | Yolanta Beresnevichiene | Network security risk assessment |
| WO2016018289A1 (en) * | 2014-07-30 | 2016-02-04 | Hewlett-Packard Development Company, L.P. | Security risk scoring of an application |
| KR101640479B1 (ko) * | 2015-08-28 | 2016-07-18 | (주)엔키소프트 | 소스코드기반 소프트웨어 취약점 공격행위 분석시스템 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102032958B1 (ko) * | 2018-01-25 | 2019-10-16 | 주식회사 엑스게이트 | 취약점 점검 장치, 방법 및 시스템 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE69929206T2 (de) * | 1998-07-21 | 2006-08-24 | Computer Associates Think, Inc. | System zur analyse der informationssicherheit |
| KR100457971B1 (ko) * | 2002-09-06 | 2004-11-18 | 지승도 | 시뮬레이션 기반 네트워크 보안관리 시스템 |
-
2004
- 2004-04-13 KR KR1020040025501A patent/KR100614931B1/ko not_active IP Right Cessation
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100805316B1 (ko) * | 2007-07-26 | 2008-02-21 | 주식회사 나우콤 | 명령어 코드 통제리스트 기반의 웹 서비스 보안시스템 및그 방법 |
| KR100968126B1 (ko) * | 2008-02-15 | 2010-07-06 | 한국인터넷진흥원 | 웹쉘 탐지 시스템 및 웹쉘 탐지 방법 |
| KR100939020B1 (ko) * | 2009-06-09 | 2010-01-27 | 주식회사 이븐스타 | 웹 소스 분석 시스템 및 방법 |
| US20130055394A1 (en) * | 2011-08-24 | 2013-02-28 | Yolanta Beresnevichiene | Network security risk assessment |
| US8650637B2 (en) * | 2011-08-24 | 2014-02-11 | Hewlett-Packard Development Company, L.P. | Network security risk assessment |
| WO2016018289A1 (en) * | 2014-07-30 | 2016-02-04 | Hewlett-Packard Development Company, L.P. | Security risk scoring of an application |
| US10318740B2 (en) | 2014-07-30 | 2019-06-11 | Entit Software Llc | Security risk scoring of an application |
| KR101640479B1 (ko) * | 2015-08-28 | 2016-07-18 | (주)엔키소프트 | 소스코드기반 소프트웨어 취약점 공격행위 분석시스템 |
| WO2017039136A1 (ko) * | 2015-08-28 | 2017-03-09 | (주)엔키소프트 | 소스코드기반 소프트웨어 취약점 공격행위 분석시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100614931B1 (ko) | 2006-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210382949A1 (en) | Systems and methods for web content inspection | |
| Aliero et al. | An algorithm for detecting SQL injection vulnerability using black-box testing | |
| US8800042B2 (en) | Secure web application development and execution environment | |
| US7810070B2 (en) | System and method for software testing | |
| US20180212972A1 (en) | Online Privacy Management System with Enhanced Automatic Information Detection | |
| Hong et al. | WebQuilt: A proxy-based approach to remote web usability testing | |
| CN101877696B (zh) | 在网络应用环境下重构错误响应信息的设备和方法 | |
| US9215245B1 (en) | Exploration system and method for analyzing behavior of binary executable programs | |
| US20060069671A1 (en) | Methodology, system and computer readable medium for analyzing target web-based applications | |
| US20120102543A1 (en) | Audit Management System | |
| US20050278540A1 (en) | System, method, and computer program product for validating an identity claimed by a subject | |
| US20060259973A1 (en) | Secure web application development environment | |
| US8676768B1 (en) | Collaborative modeling environment | |
| CN101953110A (zh) | 经由服务器端分析和实现的糅合组件隔离 | |
| US10884911B2 (en) | System and method for use in regression testing of electronic document hyperlinks | |
| Dimitrakos et al. | Model based security risk analysis for web applications: the CORAS approach | |
| CN113726790A (zh) | 网络攻击源的识别和封堵方法、系统、装置及介质 | |
| KR100614931B1 (ko) | 웹 응용프로그램의 취약점 분석 장치 및 방법 | |
| CA2906517A1 (en) | Online privacy management | |
| Auronen | Tool-based approach to assessing web application security | |
| RU2724800C1 (ru) | Система и способ обнаружения источника вредоносной активности на компьютерной системе | |
| KR20060062882A (ko) | 웹 응용프로그램 취약점 분석 지원 방법 | |
| Rahmel et al. | Testing a site with ApacheBench, JMeter, and Selenium | |
| Bellatriu | Penetration testing automation system | |
| US11461588B1 (en) | Advanced data collection block identification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E90F | Notification of reason for final refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20130710 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20140703 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20150703 Year of fee payment: 10 |
|
| FPAY | Annual fee payment |
Payment date: 20160520 Year of fee payment: 11 |
|
| LAPS | Lapse due to unpaid annual fee |