KR20060117693A - Web security method and apparatus therefor - Google Patents
Web security method and apparatus therefor Download PDFInfo
- Publication number
- KR20060117693A KR20060117693A KR1020050040166A KR20050040166A KR20060117693A KR 20060117693 A KR20060117693 A KR 20060117693A KR 1020050040166 A KR1020050040166 A KR 1020050040166A KR 20050040166 A KR20050040166 A KR 20050040166A KR 20060117693 A KR20060117693 A KR 20060117693A
- Authority
- KR
- South Korea
- Prior art keywords
- information
- web
- content
- request information
- predetermined
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 88
- 230000004044 response Effects 0.000 claims abstract description 97
- 235000014510 cooky Nutrition 0.000 claims description 29
- 238000007689 inspection Methods 0.000 claims description 19
- 230000000903 blocking effect Effects 0.000 claims description 9
- 230000008859 change Effects 0.000 claims description 8
- 238000011084 recovery Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 230000009466 transformation Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 230000005856 abnormality Effects 0.000 description 5
- 238000002347 injection Methods 0.000 description 4
- 239000007924 injection Substances 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000015654 memory Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6263—Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/60—Business processes related to postal services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
- H04W4/14—Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- Bioethics (AREA)
- Medical Informatics (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
도 1은 본 발명의 전체 개념을 설명하기 위한 참고도이다.1 is a reference diagram for explaining the overall concept of the present invention.
도 2는 본 발명에 따른 웹 보안 방법의 바람직한 실시예의 대략적인 순서도이다.2 is a schematic flowchart of a preferred embodiment of a web security method according to the present invention.
도 3은 본 발명에 따른 웹 보안 방법 중 웹 요청 정보에 대한 검사를 실시하는 바람직한 실시예의 데이터 흐름도이다.3 is a data flow diagram of a preferred embodiment for checking the web request information in the web security method according to the present invention.
도 4는 도 3의 304 단계의 도스(DOS, Denial of Service attack )공격 검사 방법의 바람직한 실시예의 순서도이다.FIG. 4 is a flowchart of a preferred embodiment of the denial of service attack (DOS) attack inspection method of
도 5는 도 3의 803 단계의 버퍼 오버플로우( Buffer Overflow ) 공격 검사 방법의 바람직한 실시예의 순서도이다.FIG. 5 is a flowchart of a preferred embodiment of a buffer overflow attack checking method of
도 6은 도 3의 308 단계의 파라미터 검사 방법의 바람직한 실시예의 순서도이다.FIG. 6 is a flowchart of a preferred embodiment of the parameter checking method of
도 7은 본 발명에 따른 웹 보안 방법 중 웹 응당 정보에 대한 검사를 실시하는 바람직한 실시예의 데이터 흐름도이다.7 is a data flow diagram of a preferred embodiment for checking the web response information in the web security method according to the present invention.
도 8은 본 발명에 따른 웹 보안 방법 중 컨텐츠 변조를 검사하는 바람직한 실시예의 데이터 흐름도이다.8 is a data flow diagram of a preferred embodiment for checking for content tampering in a web security method in accordance with the present invention.
도 9는 본 발명에 다른 웹 보안 방법 중 웹서버를 감시하는 바람직한 실시예 의 데이터 흐름도이다.9 is a data flow diagram of a preferred embodiment for monitoring a web server among other web security methods in accordance with the present invention.
도 10은 본 발명에 따른 웹 보안 서버의 바람직한 실시예의 블록구성도이다.10 is a block diagram of a preferred embodiment of a web security server according to the present invention.
본 발명은 웹 보안 방법 및 그 장치( 웹 보안 서버 )에 관한 것으로, 특히 웹 어플리케이션 단에서의 보안 방법 및 그 방법이 적용된 웹 보안 서버에 관한 것이다.The present invention relates to a web security method and apparatus (web security server), and more particularly, to a security method in a web application stage and a web security server to which the method is applied.
종래에 웹 서버의 보안은 방화벽, IPS( Intrusion Prevention System : 침입방지시스템), IDS(Intrusion Detection System : 침입탐지시스템 )등이 있었다. Conventionally, security of a web server includes a firewall, an intrusion prevention system (IPS), an intrusion detection system (IDS), and the like.
그러나 어떤 웹서버에서 운영되고 있는 웹사이트가 변조되거나 혹은 주요정보를 해커가 빼가는 등의 사고의 원인은 애드웨어, 스파이웨어와 같은 악성코드에 감염된 것으로 추정될 수 있지만 이런 악성코드, 바이러스의 감염은 거의 대부분 웹 애플리케이션에 의한 것이다. However, the cause of the accident such as the alteration of a website running on a web server or the loss of important information by a hacker can be presumed to be infected with malware such as adware or spyware. Is mostly due to a web application.
그러나 종래의 방화벽, IDS, IPS, VPN 등으로 이중 삼중의 방어벽을 쳐놨다고 하더라도 웹서버는 외부와의 통신을 위해 최소한 방화벽의 80, 443포트쯤은 열어 메일과 웹 서비스는 제공될 수 있도록 해놔야 하는데, 해커들이 노리는 것은 바로 이런 웹 애플리케이션의 취약성이다.However, even if you have double-layered firewalls with conventional firewalls, IDS, IPS, VPNs, etc., the web server should open at least 80 or 443 ports of the firewall for external communication so that mail and web services can be provided. Hackers are looking for vulnerabilities in these web applications.
종래의 네트워크 방화벽은 대개 네트워크 레벨에서 동작하며 지정된 프로토콜과 서비스에 대해서만 사이트로의 접근을 허용한다. 즉 네트워크 방화벽은 사이트 에 접근하려는 사람들을 정문을 통해서만 들어가도록 강요하는 울타리로 비유할 수 있다. 하지만 이런 네트워크 방화벽의 기능만으로는 해킹을 방지하기 어려우며, 애플리케이션 레벨에 집중해 웹 사이트에 도달하는 요청의 정확성을 유지하는 기능이 필요하다. 이는 다시 말해 일단 정문을 통해 들어온 사용자가 정상적인 행위를 하는지 보증해주는 역할을 하는 도구가 필요한 것이다. Conventional network firewalls usually operate at the network level and allow access to sites only for specified protocols and services. In other words, a network firewall can be likened to a fence that forces people who want to access a site to enter only through the front door. However, the features of these network firewalls are difficult to prevent from hacking and require the ability to focus on the application level to maintain the accuracy of requests arriving at the Web site. In other words, a tool is needed to ensure that the user who enters through the front door is doing the normal thing.
관련 전문가들은 "기존의 보안은 네트워크를 7계층으로 구분해 볼 때 주로 3??4계층과 관련된 취약성 문제를 해결하는 보안이 이슈였다"며 "이런 3??4계층의 문제를 해결하기 위한 대표적인 보안 솔루션들이 방화벽이나 침입탐지시스템, VPN(Virtual Private Network) 등이나, 웹 애플리케이션 보안의 문제는 네트워크 3계층이나 4계층의 문제가 아니라 7계층인 애플리케이션단의 문제이기 때문에 종래의 보안 솔루션들로는 애플리케이션 보안 문제를 해결할 수 없다"고 언급한다. 또한 기존의 방화벽은 SSL 등으로 암호화된 웹 트래픽을 감지하지 못하며 일반 애플리케이션의 부호화 기술은 기존 네트워크의 방화벽을 지나버리게 된다. 설사 기존 네트워크 방화벽이 암호화 및 부호화된 트래픽을 조사할 수 있다 하더라도 현재 네트워크 방화벽의 설계는 1990년대 초반에 이뤄졌기 때문에 웹 이전에 설계됐다는 것이 문제다. 즉 네트워크 방화벽의 설계는 상업적으로 성공을 거둔 웹 브라우저가 만들어지기 전의 것이므로 10년이나 지난 구형 아키텍처에 기반해 개발된 제품들은 최신의 비즈니스 애플리케이션에 대응해 업데이트하는 것이 어렵다는 것이 문제이다.Experts said, "The existing security is the security that solves the vulnerabilities related to the 3 ?? 4 layer mainly when the network is divided into 7 layers." Since the security solutions are firewalls, intrusion detection systems, virtual private networks (VPNs), and the like, the problem of web application security is not the problem of the 3rd or 4th layer of the network but of the 7th layer. I can't solve the problem. " In addition, the existing firewall does not detect web traffic encrypted with SSL, etc., and the encoding technology of the general application passes through the firewall of the existing network. Even if an existing network firewall can examine encrypted and encoded traffic, the problem is that the design of the current network firewall was designed before the web because it was designed in the early 1990s. The design of the network firewall was before the creation of a commercially successful web browser, so it was difficult to update products that were built on older architectures that were 10 years old and up-to-date with the latest business applications.
그리고 가장 중요한 문제 중의 하나는 기존의 네트워크 방화벽이 아무리 발전 을 거듭한다하더라도 애플리케이션의 성능을 향상시키는데 역부족이라는 점이 가장 근본적인 문제다. 관련 전문가들은 "분명 보안이 필수적이기는 하지만 보안이 애플리케이션 성능의 희생의 대가로 얻어져서는 안된다"며 "전통적인 방화벽은 그 개념상 애플리케이션 성능에 버틀넥이 될 수밖에 없기 때문에 애플리케이션의 성능이나 가용성을 향상시키기 어렵고 이 때문에 전문 웹 보안제품이 필요하다"고 말하고 있다.And one of the most important problems is the fact that no matter how advanced the existing network firewall is, it is not enough to improve the performance of the application. Experts say, "Definite security is essential, but security should not be gained at the expense of application performance." "Traditional firewalls, by their very nature, can only be bottlenecks in application performance, making it difficult to improve application performance or availability. That's why we need specialized web security products. "
그리고 국제 웹 보안협회인 OWASP(Open Web Application Security Project, www.owasp.org)는 "어떤 기관이 웹 애플리케이션을 도입한다는 것은 전 세계의 누구나가 HTTP 요청을 날릴 수 있도록 허용한다는 것을 의미하며 공격이 발생하는 원인은 바로 이 요청이 정상적인 HTTP 요청 가운데 하나이기 때문"이라며 "방화벽, 필터링 솔루션, 서버보안 솔루션, IDS도 이를 걸러내기 어려우며 심지어 SSL을 사용하는 웹 사이트조차도 암호화 터널링에 도착하는 웹 요청을 별도의 점검절차 없이 받아들이는 경우가 많다.웹 애플리케이션은 보안의 최전선(perimeter)이라는 점을 인지하고 웹 애플리케이션의 수, 규모, 복잡도가 증가할수록 방어해야 할 최전선 역시 늘어난다는 점을 간과해서는 안된다"고 지적하고 있다. OWASP에서 발표한 '가장 심각한 10가지 웹 애플리케이션 보안 취약점'입력 값 검증 부재, 취약한 접근 통제, 취약한 인증 및 세션관리, 버퍼 오버플로우 등을 들고 있다. 이러한 취약점은 앞서 언급한 것처럼 기존 보안제품으로는 효과적으로 방어하기 어렵다. 따라서 웹 애플리케이션에 특화된 전문 방어 제품인 웹 애플리케이션 전용의 보안 툴이 절실히 요청되고 있다.And the International Web Security Association's Open Web Application Security Project (OWASP) (www.owasp.org) said, "An institution adopting a web application means that anyone in the world can send HTTP requests. This is because it is one of the normal HTTP requests. "" Firewalls, filtering solutions, server security solutions, and IDS are difficult to filter, and even SSL-enabled Web sites can use a separate set of Web requests that arrive in encrypted tunneling. It's often accepted without checks, and we should be aware that web applications are a perimeter of security, and don't overlook the fact that as the number, size, and complexity of web applications increases, so do the front lines to defend. " have. OWASP's 10 Most Critical Web Application Security Vulnerabilities include a lack of input validation, poor access control, weak authentication and session management, and buffer overflows. As mentioned earlier, these vulnerabilities are difficult to effectively defend with existing security products. Therefore, there is an urgent need for security tools dedicated to web applications, specialized defense products specialized for web applications.
본 발명이 이루고자 하는 기술적 과제는 웹 보안 방법 및 그 방법이 적용된 장치( 웹 보안 서버 )를 제공하는데 있다. An object of the present invention is to provide a web security method and a device (web security server) to which the method is applied.
상기 문제점을 해결하기 위한 본 발명에 따른 웹 보안 방법은 (a) 인터넷을 통하여 소정의 웹 페이지 정보를 사용자 컴퓨터에 제공하는 웹서버가 소정의 방법으로 해킹시도가 있는지 여부를 판단하는데 기준이 되는 기준정보를 제공받아 이를 저장하는 단계, (b) 상기 웹서버가 상기 사용자 컴퓨터로부터 소정의 웹 요청 정보를 전송받는 단계, (c) 상기 웹서버가 상기 기준정보를 기초로 상기 웹 요청 정보에 소정 방법의 해킹시도가 포함되어 있는지 여부를 판단하는 단계, (d) 상기 웹서버가 상기 판단결과 해킹시도가 없는 것으로 판단되는 경우에는 상기 웹 요청 정보에 대응되는 웹 응답 정보를 생성시키는 단계, (e) 상기 웹서버가 상기 기준정보를 기초로 상기 웹 응답정보를 검사하여 소정의 허용되지 않는 컨텐츠가 포함되어 있는지 여부를 판단하는 단계 및 (f) 상기 웹서버가 상기 판단결과 상기 웹 응답 정보에 상기 허용되지 않는 컨텐츠가 포함되어 있지 않은 경우에는 상기 웹 응답정보를 상기 웹 요청 정보를 상기 사용자 컴퓨터에 전송하는 단계를 포함하는 것을 특징으로 한다.The web security method according to the present invention for solving the above problems is based on (a) a criterion for determining whether a web server that provides predetermined web page information to a user computer through the Internet has a hacking attempt by a predetermined method. Receiving and storing information, (b) the web server receiving predetermined web request information from the user computer, (c) the web server predetermined method to the web request information based on the reference information Determining whether a hacking attempt is included; (d) if the web server determines that there is no hacking attempt, generating web response information corresponding to the web request information; and (e) The web server examines the web response information based on the reference information to determine whether or not predetermined content is included. And (f) the web server transmitting the web response information to the user computer when the web response information does not include the disallowed content. It features.
또한 상기 웹 보안 방법의 상기 (e) 또는 상기 (f) 단계는 상기 (c) 단계의 판단결과 상기 웹 요청 정보에 소정 방법의 해킹 시도가 포함되어 있거나, 상기 (d) 단계의 판단결과 상기 웹 응답정보에 상기 허용되지 않는 컨텐츠가 포함되어 있는 경우에는 상기 사용자 컴퓨터의 접속을 차단할 것인지 여부를 미리 설정된 소정의 기준에 따라서 판단하여 차단할 경우에는 미리 저장된 차단 웹 페이지의 웹 정보를 독출하여 이를 상기 사용자 컴퓨터에 전송하고 상기 사용자 컴퓨터와의 접속을 차단하거나, 상기 사용자 컴퓨터와 연결되어 있는 세션을 차단하는 것을 특징으로 할 수 있으며, 상기 (e) 또는 상기 (f) 단계는 상기 (a) 단계의 기준정보에는 상기 웹서버를 관리하는 관리자의 휴대전화번호 또는 이메일 주소 정보가 더 포함되어 있으며, 상기 웹서버는 상기 (c) 단계의 판단결과 상기 웹 요청 정보에 소정 방법의 해킹 시도가 포함되어 있거나, 상기 (d) 단계의 판단결과 상기 웹 응답정보에 상기 허용되지 않는 컨텐츠가 포함되어 있는 경우 상기 관리자의 휴대전화번호로 문자메시지(SMS)를 전송하거나 또는 상기 이메일 주소로 이메일을 전송하여 상기 해킹시도 또는 허용되지 않는 컨텐츠가 웹 응답 정보에 포함되어 있음을 알리는 단계를 더 포함하는 것을 특징으로 할 수 있고, 상기 (e) 또는 상기 (f) 단계는 상기 (c) 단계의 판단결과 상기 웹 요청 정보에 소정 방법의 해킹 시도가 포함되어 있거나, 상기 (d) 단계의 판단결과 상기 웹 응답정보에 상기 허용되지 않는 컨텐츠가 포함되어 있는 경우에는, 상기 사용자 컴퓨터에 할당되어 있는 아이피(IP) 주소를 추출하고, 상 추출된 사용자 컴퓨터의 아이피 주소와 미리 설정되어 있는 절대적으로 신뢰할 수 있는 아이피(IP) 주소인 신뢰아이피정보를 비교하여 양자가 동일한 경우에는 상기 웹 응답 정보를 상기 사용자 컴퓨터에 전송하는 것을 특징으로 하 할 수도 있다.In addition, in the step (e) or the step (f) of the web security method, the web request information includes a hacking attempt of a predetermined method in the determination result of the step (c), or the determination result of the (d) step When the response information includes the content that is not allowed, when determining whether to block the access of the user's computer according to a predetermined criterion, the web information of the pre-stored blocking web page is read and the user is read. It may be characterized in that the transmission to the computer and to cut off the connection to the user computer, or to block the session connected to the user computer, wherein step (e) or (f) is the reference of step (a) The information further includes mobile phone number or email address information of an administrator who manages the web server. If the web request information includes a hacking attempt of a predetermined method as a result of step (c) or if the web response information includes the content that is not allowed, the administrator's portable And sending a text message (SMS) to a phone number or sending an email to the email address to indicate that the hacking attempt or the unacceptable content is included in the web response information. Step (e) or step (f) includes a hacking attempt of a predetermined method in the web request information as a result of the determination of step (c), or the web response information is not allowed in the web response information as a result of the determination of step (d). If the content is not included, the IP (IP) address assigned to the user computer is extracted, and the extracted IP address of the user computer And the trusted IP information which is an absolutely reliable IP address which is set in advance, and the web response information may be transmitted to the user computer when both are identical.
또한 상기 웹 보안 방법의 상기 (a) 단계의 기준정보에는 일정 시간 내에 동 일한 아이피(IP)를 갖는 소정의 사용자 컴퓨터로부터 동일한 웹 요청 정보가 있는 경우에는 도스(DOS) 해킹시도가 있는 것으로 판단하는 도스기준 정보가 포함되어 있으며, 상기 (c) 단계는 상기 사용자 컴퓨터로부터의 웹 요청 정보가 상기 도스기준 정보를 기초로 판단하여 도스시도에 해당하는지 여부를 판단하는 단계를 포함하는 것을 특징으로 할 수 있으며, In addition, if there is the same web request information from a predetermined user computer having the same IP within a predetermined time in the reference information of step (a) of the web security method, it is determined that there is a DOS hack attempt. DOS reference information is included, and the step (c) may include determining whether the web request information from the user computer corresponds to the DOS attempt based on the DOS reference information. And
상기 웹 보안 방법의 상기 (a) 단계의 기준정보에는 버퍼의 오버플로우를 일으키지 않는 웹 요청 정보의 전체 크기, 유알엘(URL)의 허용 크기, 쿼리스트링의 허용 크기, 파라미터 변수명의 허용 크기, 파라미터 입력값의 허용 크기 중 적어도 어느 하나 이상의 정보를 포함하는 버퍼 오버플로우 기준정보가 포함되어 있으며, 상기 (c) 단계는 상기 버퍼 오버플로우 기준정보를 기초로 상기 웹 요청정보가 버퍼 오버플로우 시도에 해당하는지 여부를 판단하는 단계를 포함하는 것을 특징으로 할 수도 있고, In the reference information of step (a) of the web security method, the total size of web request information that does not cause a buffer overflow, the allowable size of a URL, the allowable size of a query string, the allowable size of a parameter variable name, and the parameter input. Buffer overflow reference information including at least one information of an allowable size of a value is included. In step (c), whether the web request information corresponds to a buffer overflow attempt based on the buffer overflow reference information. It may be characterized in that it comprises a step of determining whether,
상기 웹 보안 방법의 상기 (a) 단계의 기준정보에는 상기 웹 보안 서버에서 허용 가능한 유알엘(URL) 정보인 유알엘 기준정보가 포함되어 있으며, 상기 (c) 단계는 상기 유알엘 기준정보를 기초로 상기 웹 요청정보가 허용 가능한 유알엘에 대한 서비스 요청인지 여부를 판단하는 단계를 포함하는 것을 특징으로 할 수도 있다.The reference information of step (a) of the web security method includes UEL reference information, which is URL information allowable by the web security server, and the step (c) includes the web based on the UEL reference information. It may be characterized in that it comprises the step of determining whether the request information is a service request for the allowable UAL.
또한 상기 웹 보안 방법의 상기 (a) 단계의 기준정보에는 상기 웹 보안 서버에서 허용되는 유알엘(URL)에 따라 적용 가능한 파라미터 이름, 파라미터의 입력 값 길이, 파라미터 입력값의 유형, 시그너쳐 방식구분, 파라미터의 사용유무 중 적 어도 어느 하나 이상의 정보를 포함하는 파라미터 기준정보가 포함되어 있으며, 상기 (c) 단계는 상기 파라미터 기준정보를 기초로 상기 웹 요청 정보에 포함된 파라미터가 정상적인 파라미터 인지 여부를 판단하는 단계를 포함하는 것을 특징으로 할 수 있으며, 상기 (a) 단계의 기준정보에는 상기 웹 보안 서버에서 허용되는 유알엘(URL)에 따라 적용 가능한 파라미터 이름, 파라미터의 입력 값 길이, 파라미터 입력값의 유형, 파라미터 값의 허용범위, 시그너쳐 방식구분, 파라미터의 사용유무, 상기 웹 요청정보에 대응되는 웹 페이지가 동적으로 생성되는 경우에는 상기 웹 페이지에 포함되서는 안되는 소정의 데이터 중 적어도 어느 하나 이상의 정보를 포함하는 파라미터 기준정보가 포함되어 있으며, 상기 (c) 단계는 상기 파라미터 기준정보를 기초로 상기 웹 요청 정보에 포함된 파라미터가 정상적인 파라미터 인지 여부를 판단하는 단계를 포함하는 것을 특징으로 할 수도 있으며, In addition, the reference information of step (a) of the web security method includes a parameter name applicable to a URL allowed by the web security server, an input value length of a parameter, a type of a parameter input value, a signature method classification, and a parameter. Parameter reference information including at least one of the use of the information is included, and step (c) determines whether the parameter included in the web request information is a normal parameter based on the parameter reference information. The reference information of the step (a) includes a parameter name applicable to a URL allowed by the web security server, an input value length of a parameter, a type of a parameter input value, and the like. Permitted range of parameter value, signature type classification, use of parameter, web request information When the web page is dynamically generated, parameter reference information including at least one or more pieces of predetermined data which should not be included in the web page is included, and the step (c) is based on the parameter reference information. The method may include determining whether the parameter included in the web request information is a normal parameter.
상기 웹 보안 방법의 상기 (c) 단계는 상기 웹 요청 정보가 소정의 쿠키(Cookie)인 제1쿠키에 저장되어 있는 정보를 포함하는 경우에는 상기 제1쿠키에 대응되는 상기 웹서버에 미리 저장되어 있는 쿠키인 제2쿠키와 상기 제1쿠키를 비교하여 상기 제1쿠키가 변조된 것인지 여부를 판단하고, 상기 (f) 단계는 상기 웹 요청 정보 또는 웹 응답 정보에 대응되는 쿠키를 상기 웹서버에 저장하는 단계를 더 포함하는 것을 특징으로 할 수도 있다.The step (c) of the web security method is previously stored in the web server corresponding to the first cookie when the web request information includes information stored in a first cookie which is a predetermined cookie. It is determined whether the first cookie is modified by comparing the second cookie and the first cookie, and the step (f) sends the cookie corresponding to the web request information or the web response information to the web server. The method may further include storing.
또한 상기 웹 보안 방법의 상기 (a) 단계의 기준정보에는 상기 웹 응답 정보에 포함되는 것이 허용되지 않는 소정의 헤더정보, 상기 헤더 정보를 변경시킬 다른 헤더정보보인 헤더변경기준정보 및 상기 웹 응답 정보에 포함되는 것이 허용되 지 않는 컨텐츠에 관한 컨텐츠검사기준정보 및 상기 컨텐츠검사기준정보에 대체되어 변경시킬 컨텐츠인 컨텐츠변형기준정보가 포함되어 있으며, 상기 (e) 단계는 상기 웹 응답 정보에 포함된 헤더 정보 및 컨텐츠 정보를 상기 헤더변경기준정보, 상기 컨텐츠검사기준정보를 기초로 허용되지 않는 헤더 또는 컨텐츠에 해당하는지 여부를 판단하고, 상기 (f) 단계는 상기 판단결과 상기 웹 응답 정보에 포함된 헤더 정보가 허용되지 않는 것인때에는 상기 헤더 정보를 상기 헤더변경기준정보를 기초로 변경시키고, 상기 웹 응답 정보에 포함된 컨텐츠가 허용되지 않는 것인때에는 상기 켄텐츠변형기준정보를 기초로 상기 컨텐츠를 허용되는 컨텐츠로 변경시키는 단계를 더 포함하는 것을 특징으로 할 수 있으며, In addition, the reference information of step (a) of the web security method includes predetermined header information that is not allowed to be included in the web response information, header change reference information showing other header information to change the header information, and the web response information. Contents inspection criteria information about contents which are not allowed to be included in the contents and contents transformation criteria information which is contents to be replaced by being replaced with the contents inspection criteria information, and the step (e) is included in the web response information. It is determined whether the header information and the content information correspond to headers or contents which are not allowed based on the header change criterion information and the content inspection criterion information. The step (f) includes the web response information. When the header information is not allowed, the header information is changed based on the header change criterion information. If it does have the content in a Web response information it is not allowed may be characterized in that it further comprises the step of changing a content to be allowed of the content based on the modified reference information kentencheu,
또한 상기 웹 보안 방법의 상기 (a) 단계는 상기 웹서버에 저장되어 있는 컨텐츠들의 생성일, 크기, 내용에 관한 정보를 독출하여 생성된 컨텐츠 관리정보를 생성시켜 저장하고, (g) 상기 웹서버는 일정한 주기별로 자신이 저장하고 있는 컨텐츠들에 대응되는 컨텐츠 관리정보를 생성시킨 후 상기 (a) 단계에서 미리 저장된 컨텐츠 관리정보와 비교하여 상기 컨텐츠들이 변조되었는지 여부를 검사하는 단계, (h) 상기 웹서버는 상기 (g)단계의 검사결과 상기 컨텐츠들이 변조된 경우에는 상기 (a) 단계에서 저장된 컨텐츠관리정보를 기초로 변조된 컨텐츠들을 복구시키는 단계를 더 포함하는 것을 특징으로 할 수도 있다.In addition, the step (a) of the web security method generates and stores the content management information generated by reading the information on the creation date, size, and content of the contents stored in the web server, and (g) the web server Generating content management information corresponding to the contents stored by the user at regular intervals and checking whether the contents have been tampered with by comparing with the previously stored content management information in step (a); The web server may further include recovering the modulated contents based on the content management information stored in the step (a) when the contents are modified as a result of the checking in the step (g).
상기 문제점을 해결하기 위한 본 발명에 따른 웹 보안 서버는 인터넷을 통하여 소정의 사용자 컴퓨터로부터 전송받은 웹 요청 정보 또는 상기 웹 요청 정보에 대응되는 웹 응답 정보에 소정의 방법의 해킹시도 또는 보안상 허용되지 않는 정보 가 포함되어 있는지 여부를 판단하는데 기준이 되는 기준정보를 제공받아 이를 저장하여 관리하는 기준정보 관리부, 상기 사용자 컴퓨터로부터 소정의 웹 요청 정보를 전송받는 웹 요청 정보 수신부, 상기 기준정보를 기초로 상기 웹 요청 정보 수신부로부터 제공받은 상기 웹 요청 정보에 소정 방법의 해킹시도가 포함되어 있는지 여부를 판단하는 웹 요청 정보 검사부, 상기 웹 요청 정보 검사부의 판단결과 해킹시도가 없는 것으로 판단되는 경우에는 상기 웹 요청 정보에 대응되는 웹 응답 정보를 생성시키는 웹 응답 정보 생성부, 상기 기준정보를 기초로 상기 웹 응답 정보 생성부로부터 제공받은 상기 웹 응답정보를 검사하여 소정의 허용되지 않는 컨텐츠가 포함되어 있는지 여부를 판단하는 웹 응답정보 검사부 및 상기 웹 응답 정보 검사부의 상기 판단결과 상기 웹 응답 정보에 상기 허용되지 않는 컨텐츠가 포함되어 있지 않은 경우에는 상기 웹 응답정보를 상기 웹 요청 정보를 상기 사용자 컴퓨터에 전송하는 웹 응답부를 포함하는 것을 특징으로 한다.The web security server according to the present invention for solving the above problems is not allowed for the hacking attempt or security of a predetermined method on the web request information received from a predetermined user computer via the Internet or the web response information corresponding to the web request information. A reference information management unit which receives and stores reference information, which is a reference for determining whether information is not included, a web request information receiving unit receiving predetermined web request information from the user computer, and based on the reference information A web request information inspecting unit which determines whether a hacking attempt of a predetermined method is included in the web request information provided from the web request information receiving unit, and the web request information inspecting unit determines that there is no hacking attempt Generating web response information corresponding to the request information. A web response information generation unit, a web response information inspection unit and the web response that examine whether the web response information provided from the web response information generation unit includes predetermined content based on the reference information; And a web response unit for transmitting the web response information to the user computer when the web response information does not include the disallowed content.
또한 상기 웹 보안 서버의 상기 웹 응답부는 상기 웹 요청 정보에 소정 방법의 해킹 시도가 포함되어 있거나, 상기 웹 응답정보에 상기 허용되지 않는 컨텐츠가 포함되어 있는 경우에는 상기 사용자 컴퓨터의 접속을 차단할 것인지 여부를 미리 설정된 소정의 기준에 따라서 판단하여 차단할 경우에는 미리 저장된 차단 웹 페이지의 웹 정보를 독출하여 이를 상기 사용자 컴퓨터에 전송하고 상기 사용자 컴퓨터와의 접속을 차단하거나, 상기 사용자 컴퓨터와 연결되어 있는 세션을 차단하는 것을 특징으로 할 수도 있으며, The web response unit of the web security server may block access to the user computer when the web request information includes a hacking attempt of a predetermined method or when the web response information includes the disallowed content. In the case of blocking and determining according to a predetermined predetermined criterion, the web information of the pre-stored blocked web page is read and transmitted to the user computer and the connection with the user computer is blocked, or a session connected to the user computer is blocked. It may be characterized in that the blocking,
상기 웹 보안 서버는 저장되어 있는 컨텐츠들의 생성일, 크기, 내용에 관한 정보를 독출하여 생성된 컨텐츠 관리정보를 생성시켜 저장하고, 일정한 주기별로 자신이 저장하고 있는 컨텐츠들이 변조되었는지 여부를 상기 컨텐츠 관리정보를 기초로 검사하고, 상기 검사결과 상기 컨텐츠들이 변조된 경우에는 상기 미리 저장되어 있는 저장된 컨텐츠관리정보를 기초로 변조된 컨텐츠들을 복구시키는 컨텐츠 검사 및 복구부를 더 포함하는 것을 특징으로 할 수도 있으며, 상기 웹 요청 정보 검사부 및 상기 웹 응답 정보 검사부의 상기 판단결과 정보를 제공받아 이를 저장하고, 일정한 주기별로 상기 저장된 정보들의 통계정보를 생성시키는 통계 처리부를 더 포함하는 것을 특징으로 할 수도 있다.The web security server reads and stores information on the generation date, size, and content of the stored contents to generate and store the generated content management information, and whether the contents stored by the web server are modified at regular intervals. The method may further include a content inspecting and restoring unit configured to inspect the information and restore the modulated contents based on the pre-stored stored content management information when the contents are modified. The web request information inspecting unit and the web response information inspecting unit may receive and store the determination result information, and may further include a statistics processing unit for generating statistical information of the stored information at regular intervals.
이하에서는 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 전체 개념을 설명하기 위한 참고도이다.1 is a reference diagram for explaining the overall concept of the present invention.
사용자 컴퓨터(101)는 인터넷을 통하여 웹보안서버(102)에 접속하여 웹 서비스를 제공받는 사용자의 컴퓨터를 의미하며, 보통 복수 개 존재한다.The
웹 보안 서버(102)는 사용자 컴퓨터(101)로부터 웹 요청 정보( Web Request information, 소정의 웹페이지에 관한 정보를 요청하는 정보 )를 전송받아 이를 미리 설정된 소정의 기준정보를 기초로 소정 방법의 해킹시도가 포함되어 있는지 여부를 판단하고, 웹 요청 정보에 대응하는 웹 응답 정보를 생성시킨 후 보안상 공개가 되어서는 안되는 정보가 위 웹 응답정보에 포함되었는지 여부를 위 기준정보를 기초로 판단하여 이상이 없는 경우에만 위 사용자 컴퓨터(101)에게 웹 서비스를 제공하는 기능을 수행한다.The
관리서버(103)는 위 웹 보안서버(102)가 복수 개 존재할 때 위 웹 보안 서버 (102)에 설정되는 기준정보 등을 미리 저장하고 있다가 위 웹 보안 서버(102)에 제공하는 기능 또는 위 웹 보안서버(102)의 동작 결과를 제공받아 이를 저장하였다가 필요한 경우 통계 처리하여 위 웹 보안 서버의 관리자에게 제공하는 기능을 수행할 수 있다.The
도 2는 본 발명에 따른 웹 보안 방법의 바람직한 실시예의 대략적인 순서도이다.2 is a schematic flowchart of a preferred embodiment of a web security method according to the present invention.
먼저 웹 보안 서버는 관리자 또는 관리서버(103)로부터 웹 요청 정보에 해킹시도가 있는지 또는 웹 응답 정보에 보안상 허용되어서는 안되는 컨텐츠 또는 정보가 포함되어 있는지 여부를 판단하는데 기준이 되는 기준정보를 제공받아 이를 저장하여 지준정보 데이터베이스를 구축(201)한다.First, the web security server provides reference information as a reference for determining whether the web request information is hacked from the administrator or the
그 후 소정의 사용자 컴퓨터(101)로부터 소정의 웹 페이지 정보를 요청하는 웹 요청 정보를 전송(202)받으면, 위 기준정보를 기초로 위 웹 요청 정보에 소정 방법의 해킹시도가 포함되어 있는지 여부를 검사(203)한다.Thereafter, upon receiving 202 web request information for requesting predetermined web page information from a
그 검사결과 이상이 없는지 여부를 판단(204)하여, 이상이 없으면 위 웹 요청 정보에 대응되는 웹 응답정보를 생성(205)시키고, 위 기준정보를 기초로 위 웹 응답 정보에 허용되어서는 않되는 정보 또는 컨텐츠가 포함되어 있는지 여부를 검사(206)한 후 위 검사결과 이상이 없는지 여부를 판단(207)하여, 이상이 없는 경우에는 위 웹 응답정보를 위 사용자 컴퓨터에 전송(209)한다.It is determined whether or not there is no abnormality as a result of the inspection (204), and if there is no abnormality, web response information corresponding to the above web request information is generated (205), and based on the above criteria information, the web response information should not be allowed. After checking whether the information or the content is included (206), it is determined whether or not the above inspection result is abnormal (207). If there is no abnormality, the web response information is transmitted to the user's computer (209).
위 204 단계 또는 207 단계에서 이상이 있는 경우에는 위 사용자 컴퓨터의 접속을 차단시킬 것인지 여부를 미리 저장된 소정의 설정정보( 예를 들면 사용자 컴 퓨터에 할당된 아이피(IP) 주소가 신뢰할 수 있는 아이피 주소와 동일한 경우에는 차단하지 않음 )를 기준으로 위 사용자 컴퓨터의 접속을 차단하거나 세션을 차단할 것인지 여부를 판단(208)하여 차단할 경우에는 미리 저장된 소정의 차단 웹페이지의 정보를 상기 사용자 컴퓨터에 전송(210)하고 위 사용자 컴퓨터의 접속을 차단하거나 세션을 차단한다.If there is an error in
도 3은 본 발명에 따른 웹 보안 방법 중 웹 요청 정보에 대한 검사를 실시하는 바람직한 실시예의 데이터 흐름도로, 상기 도 2의 203 단계를 보다 상세하게 도시한 것이다.FIG. 3 is a data flow diagram of a preferred embodiment for checking the web request information in the web security method according to the present invention, which illustrates
먼저 사용자 컴퓨터로부터 소정의 웹 요청정보를 수신 받으면, 소정의 설정모드( 예를 들면 보안기능 해제, 보안기능 설정 등 )를 체크(301)하여 보안 기능이 설정되어 있지 않고 모니터링 기능만 설정되어 있는 경우 웹요청정보를 로그파일에 저장(302)한다.First, upon receiving predetermined web request information from the user's computer, a predetermined setting mode (for example, canceling the security function, setting the security function, etc.) is checked (301), and the security function is not set, but only the monitoring function is set. The web request information is stored in a log file (302).
위 301에서 설정정보가 검사모드(즉, 보안기능 설정 )인 경우에는 미리 설정되어 있는 무조건 접근을 차단할 차단 아이피(IP) 주소 정보를 독출하고, 위 독출된 아이피 주소와 위 사용자 컴퓨터에 할당되어 있는 아이피주소를 추출하여, 위 사용자 컴퓨터에 할당된 아이피 주소가 위 차단 아이피로 등록되어 있는지 여부를 검사(303)한다.If the setting information in the check mode (ie, the security function setting) in
그 후 위 303 단계에서 사용자 컴퓨터에 할당된 아이피 주소가 차단 아이피 주소로 등록되어 있지 않으면, 미리 저장된 도스기준 정보( 예를 들면 소정의 일정기간내에 동일한 웹 요청 정보를 소정 횟수 이상 반복하여 요청하는 도스 공격으로 간주 )를 독출하고, 위 웹 요청 정보가 위 도스기준 정보를 기초로 도스공격인지 여부를 검사(304)한다.After that, if the IP address assigned to the user's computer is not registered as the blocked IP address in
도스( DOS : Denial of service )공격이란 특정의 웹서버에 그 처리용량을 초과하는 웹 요청을 함으로써 위 웹서버가 정상적인 동작을 하지 못하도록 하는 해킹방법으로, 도스 검사란 동일한 웹 요청 정보가 일정 시간내에 미리 설정된 회수를 초과하는 경우에 도스 공격이 있는 것으로 판단할 수 있다.DOS (Denial of service) attack is a hacking method that prevents the web server from operating normally by making a web request that exceeds the processing capacity to a specific web server. If the preset number of times is exceeded, it can be determined that there is a DOS attack.
그 후 위 304 단계에서 위 웹요청 정보가 도스공격이 아닌 경우에는 오버 플로우 기준정보를 독출하여 위 웹 요청 정보가 버퍼 오버플로우 공격에 해당하는지 여부를 검사(305)한다.Then, in
버퍼 오버플로우(Buffer Overflow )공격이란 웹 요청 정보를 통하여 특정의 웹서버의 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소(return address)를 조작, 궁극적으로 해커가 원하는 코드를 실행하는 것을 말하며, 여기에서 "버퍼(buffer)"란 프로그램 처리 과정에 필요한 데이터가 일시적으로 저장되는 공간으로 메모리의 스택(stack) 영역과 힙(heap) 영역이 포함된다. 본 발명에서는 웹 요청 정보의 전체길이, 웹 요청 정보에 포함된 전체 유알엘(URL) 전체 길이, 쿼리스트링(QueryString)의 전체길이, 파라미터 변수의 전체길이, 파리미터 입력값의 전체길이를 미리 설정된 기준에 따라 검사하여 소정 길이를 초과하는 경우 버퍼 오버플로우 공격이 있는 것으로 판단할 수 있다.A buffer overflow attack is a method that manipulates the return address of a program by inputting data exceeding the amount of buffer allocated to the memory of a specific web server through web request information, and ultimately, a code desired by a hacker. In this case, the term "buffer" is a space in which data necessary for processing a program is temporarily stored, and includes a stack area and a heap area of memory. In the present invention, the total length of the web request information, the total length of all URLs included in the web request information, the total length of the query string, the total length of the parameter variables, and the total length of the parameter input values are set to the preset criteria. If it exceeds the predetermined length, it can be determined that there is a buffer overflow attack.
위 305 단계에서 버퍼 오버플로우 공격이 아닌 경우에는 위 웹 요청 정보에 포함된 유알엘(URL) 정보가 허용되는 유알엘 인지 여부를 검사(306)하는데, 유알엘 (URL) 검사는 웹 요청 정보에 포함된 유알엘(URL) 정보와 특정 웹서버에서 허용 가능한 유알엘 정보를 비교하여, 위 웹 요청 정보에 포함된 유알엘 정보가 위 허용 가능한 유알엘에 포함되어 있는지 여부를 확인한다. 상기 유알엘 검사는 도메인, URL, 메소드, 파라미터 유무, 파라미터 개수 등의 정보가 더 검사될 수 있다.If it is not a buffer overflow attack in
위 306의 유알엘 검사결과 허용가능한 유알엘인 경우 미리 저장되 있던 쿠키정보와 위 사용자 컴퓨터에 저장되어 있는 쿠키정보를 비??하여 쿠키정보가 변조되었는지 여부를 검사(307)하는데, In the case of the UAL test result of 306 above, it is checked whether the cookie information has been tampered with by comparing the previously stored cookie information and the cookie information stored in the user's computer (307).
쿠키( Cookie ) 란 어떤 사용자 컴퓨터가 특정 웹서버의 웹사이트에 접속할 때 생성되는 정보를 담은 임시 파일로 크기는 4KB 이하로 작으며, 보통 쿠키는 애초 인터넷 사용자들의 홈페이지 접속을 돕기 위해 만들어진 것으로 특정 사이트를 처음 방문하면 아이디와 비밀번호를 기록한 쿠키가 만들어지고 다음에 접속했을 때는 별도 절차 없이 사이트에 빠르게 연결할 수 있다. 보통 쿠키는 사용자 컴퓨터에 저장되는데, 이 쿠키에 저장된 값을 변조함으로써 접근이 허용되지 않은 리소스에 접근하는 등 해킹에 사용될 수 있다.Cookies are temporary files that contain information generated when a user's computer accesses a website on a particular web server. The cookie is smaller than 4KB in size, and a cookie is usually created to help Internet users access the homepage. The first time you visit, a cookie is created that records your username and password, and you can quickly connect to the site the next time you go. Cookies are usually stored on the user's computer, which can be used for hacking by accessing resources that are not allowed by tampering with the values stored in the cookie.
본 발명에서는 사용자 컴퓨터에 저장되는 쿠키와 동일한 정보를 웹서버에 따로 저장하여 놓았다가, 위 사용자 컴퓨터로부터의 접속이 있는 경우에는 위 사용자 컴퓨터상의 쿠키에 저장되어 있는 정보와 위 웹서버에 저장되어 있는 쿠키의 정보를 비교하여 검증한다.In the present invention, the same information as the cookie stored on the user's computer is stored separately in the web server, and when there is a connection from the user's computer, the information stored in the cookie on the user's computer and the web server are stored. Validate by comparing cookie information.
위 307 단계에서 쿠키가 변조되지 않은 경우에는 위 웹 요청 정보에 포함된 파라미터가 정상적인지 여부를 파라미터기준정보를 기초로 검사하는데, 파라미터( Parameter )는 보통 에이에스피(ASP), 피에치피(PHP) 또는 에치엠엘(html) 등으로 작성된 웹페이지를 호출하는 유알엘(URL) 정보 뒤에 ?표를 붙이고 그 뒤에 소정의 변수와 그 변수에 입력되는 값을 지정한 것을 말한다. 파라미터 검사는 특정 웹서버에 허용하는 유알엘(URL)에 적용 가능한 파라미터 이름, 파라미터의 입력 값 길이, 파라미터 입력 값의 유형, 시그너쳐 방식구분, 파라미터의 사용유무 등에 관한 기준정보를 기초로 웹 요청 정보에 포함된 파라미터의 정보와 비교하여 위 웹 요청정보에 포함된 파라미터의 정보가 위 기준정보를 벗어날 때 해킹 공격이 있는 것으로 판단한다.In the case where the cookie is not tampered with in
위 308 의 파라미터 검사결과 웹 요청정보에 포함된 파라미터 정보가 정상인 경우 위 웹 요청정보에 포함된 히든 변수를 히든변수 기준정보를 기초로 정상인지 여부를 검사(309)한다. 즉, 히든변수 검사는 특정 웹서버가 자신이 전송받은 웹 요청 정보에 포함된 히든 변수의 값을 추출한 후, 미리 저장되어 있던 히든변수의 값과 비교하여 위 웹 요청 정보에 포함된 히든 변수의 값이 변조되었는지 여부를 판단하여 검사한다.When the parameter information included in the web request information of the parameter check result of the above 308 is normal, it is checked whether the hidden variable included in the web request information is normal based on the hidden variable reference information (309). In other words, the hidden variable check extracts the hidden variable value included in the web request information received by a specific web server, and compares the hidden variable value previously stored to the value of the hidden variable included in the above web request information. Determine and examine whether it has been tampered with.
한편 위 304 내지 309의 단계의 수행순서는 필요에 따라서 달라질 수 있으며, 필요한 경우 위 단계들 중 일부 단계만 적용될 수도 있다.On the other hand, the order of performing the steps of 304 to 309 may be changed as necessary, and only some of the above steps may be applied if necessary.
그리고 위 303 내지 309 단계에서 이상이 있는 경우에는 위 사용자 컴퓨터의 접속을 차단할 것인지 여부를 판단하는데 이는 도 4의 1008 단계에서 이루어진다.If there is an error in
도 4는 도 3의 304 단계의 도스(DOS, Denial of Service attack )공격 검사 방법의 바람직한 실시예의 순서도이다.FIG. 4 is a flowchart of a preferred embodiment of the denial of service attack (DOS) attack inspection method of
먼저 수신된 웹요청정보를 발신한 상대방 컴퓨터의 아이피 주소( Internet protocol address)를 추출(401)한다. 그 후 위 추출된 해당 아이피 주소로부터 수신된 웹요청정보의 횟수를 내부 저장소에 누적하여 합산한다(402). 그 후 도스기준 정보를 독출하고 위 아이피 주소로부터의 웹요청 횟수가 위 도스기준정보에 포함된 기준보다 큰지 여부를 판단하여 도스 공격인지 여부를 판단(403)한다.First, an IP address (Internet protocol address) of the counterpart computer that has sent the received web request information is extracted (401). Thereafter, the number of web request information received from the extracted IP address is accumulated in the internal storage and summed (402). Thereafter, the DOS reference information is read and the number of web requests from the IP address is determined to be greater than the reference included in the DOS reference information to determine whether it is a DOS attack (403).
상기 403 단계에서의 판단결과 도스 공격으로 판단되면 위 아이피 주소를 접근 차단 아이피 주소로 등록(404)시킨다.If it is determined in
그리고 위 일정시간( 예를 들면 1초 )내에 웹요청이 없는 아이피 주소의 경우에는 그 요청누적회수를 0으로 리셋시킨다(405).In the case of the IP address without the web request within the predetermined time (for example, 1 second), the request accumulation count is reset to 0 (405).
한편 위 403 단게에서 도스 공격이 아닌 것으로 판단되는 경우에는 곧바로 450 단계로 이동한다.On the other hand, if it is determined in
도 5는 도 3의 803 단계의 버퍼 오버플로우( Buffer Overflow ) 공격 검사 방법의 바람직한 실시예의 순서도이다.FIG. 5 is a flowchart of a preferred embodiment of a buffer overflow attack checking method of
먼저 오버플로우 기준정보를 독출한 후, 수신된 웹요청정보의 전체길이를 측정하여 위 측정된 웹요청정보의 전체길이가 상기 오버플로우 기준정보에 포함된 웹요청정보의 허용되는 전체길이 보다 작은지 여부를 판단(501)한다.First, after reading the overflow reference information, the total length of the received web request information is measured to determine whether the total length of the measured web request information is smaller than the allowable total length of the web request information included in the overflow reference information. It is determined whether or not (501).
위 판단결과 수신된 웹요청정보의 전체길이가 허용되는 범위에 있는 경우에는 수신된 웹요청정보의 헤더길이를 측정한 후, 측정된 웹요청정보의 헤더길이가 위 오버플로우 기준정보에 포함된 웹요청정보의 허용되는 헤더길이보다 작은지 여부를 판단(502)한다.As a result of the above determination, if the total length of the received web request information is within the allowable range, the header length of the received web request information is measured, and then the header length of the measured web request information is included in the overflow reference information. It is determined whether the request information is smaller than the allowed header length (502).
그 후 위 판단결과 수신된 웹요청정보의 헤더길이가 허용되는 범위에 있는 경우에는 위 웹요청정보에 포함된 쿼리스트링(QueryString)의 길이를 측정하여, 위 측정된 쿼리스트링의 길이가 위 오버플로우 기준정보에 포함된 허용 쿼리스트링의 길이보다 작은지 여부를 판단(503)한다.After that, if the header length of the received web request information is within the allowable range, the length of the query string included in the web request information is measured, and the length of the measured query string overflows the above. It is determined whether the length is smaller than the length of the allowed query string included in the reference information (503).
여기서 쿼리스트링이란 데이터베이스에서 소정의 작업( 예를 들면 테이블의 생성 및 삭제, 소정 데이터의 저장 및 조회 등 )을 수행하는 명령문을 의미한다.Here, the query string refers to a statement that performs a predetermined operation (for example, creating and deleting a table, storing and retrieving predetermined data, etc.) in a database.
위 503 단계에서의 판단결과 위 추출된 쿼리스트링의 길이가 허용범위 내이면 위 웹요청정보의 파라미터 변수명의 길이와 상기 변수명에 할당된 입력값의 길이를 측정한 후, 상기 측정된 길이가 상기 오버플로우 기준정보에 포함된 파라미터 및 입력값의 크기내인지 여부를 판단(504)한다. 그 결과 상기 측정된 파라미터 변수 및 그 입력값의 크기(길이)가 허용되는 범위내이면, 오버플로우 검사를 마친다.As a result of the determination in
한편 위 501 단계 내지 504 단게에서 웹요청정보의 전체길이, 헤더길이, 쿼리스트링 길이, 파라미터 변수명의 길이 및 파라미터들에 할당된 입력값의 길이가 허용되는 범위를 넘는 경우에는 도 7의 708 단계로 이동한다.On the other hand, if the total length of the web request information, the header length, the query string length, the length of the parameter variable name, and the length of the input value allocated to the parameters exceed the allowable range in
도 6은 도 3의 308 단계의 파라미터 검사 방법의 바람직한 실시예의 순서도이다.FIG. 6 is a flowchart of a preferred embodiment of the parameter checking method of
먼저 수신된 웹요청정보에 포함된 파라미터 변수들에 할당된 입력값 정보를 추출(601)한다. 그 후 미리 저장되어 있는 파라미터 기준정보를 독출하고, 위 추출된 입력값 중에 위에서 독출된 파라미터 기준정보에 포함된 엑스에스에스(XSS, Cross Site Scripting ) 시그너처에 해당되는 문자( 예를 들면 '<', '>' 등 )가 포 함되어 있는지 여부를 판단(602)한다. 위 판단결과 엑스에스에스 스그너처에 해당되는 문자가 상기 추출된 입력값에 포함되지 않은 경우에는 상기 추출된 입력값 중 상기 파라미터 기준정보에 포함된 에스큐엘 인젝션( SQL injection )에 해당하는 시그너처 문자( 예를 들면 '.WWinsert.*', '.*WWdelete.*', '.WWselect.*', '.WWupdate.*', '.*WW--.*', '.*WWPRINT.*', '.*WWUsers.*', '.*WWUNION.*', '*WWSET.*', '.*WW@.*', '.*WW+.*', '.*W짹.*W=.*' 등 )가 포함되어 있는지 여부를 판단(603)한다.First, input value information allocated to parameter variables included in the received web request information is extracted (601). Thereafter, the parameter reference information stored in advance is read out, and characters corresponding to the XSS (Cross Site Scripting) signature included in the parameter reference information read out among the extracted input values (for example, '<', '>' And the like) are determined (602). As a result of the determination, if a character corresponding to an XS signature is not included in the extracted input value, a signature character corresponding to SQL injection included in the parameter reference information among the extracted input values (for example, For example, '.WWinsert. *', '. * WWdelete. *', '.WWselect. *', '.WWupdate. *', '. * WW-. *', '. * WWPRINT. *', ' . * WWUsers. * ','. * WWUNION. * ',' * WWSET. * ','. * WW @. * ','. * WW +. * ','. * W tweets. * W =. * ', Etc.) is determined (603).
상기 판단결과 상기 추출된 입력값에 상기 에스큐엘 인젝션 시그너처 문자가 포함되어 있지 않은 것으로 판단되는 경우에는 상기 추출된 입력값이 상기 파라미터 기준정보 상의 상기 파라미터 변수의 입력값 형태에 대응되지 않는 형태의 입력값( 예를 들면 소정 파라미터 변수의 입력값의 형태가 문자 또는 숫자인 경우 그에 대응되지 않는 다른 형태 )인지 여부를 판단(604)하여 이상이 없는 경우에는 파라미터 검사를 마친다.If it is determined that the extracted injection value does not include the Escrow injection signature character, the extracted input value does not correspond to an input value type of the parameter variable on the parameter reference information. It is determined whether the value (for example, the form of the input value of the predetermined parameter variable is a character or a number that is not corresponding to it) in
한편 위 602 단계 내지 604 단계에서 상기 추출된 입력값의 형태가 파라미터 기준정보 상의 엑스에스에스 시그너처에 해당되거나, 에스큐엘 인젝션 시그너처 문자에 해당되거나, 허용되지 않는 형태의 입력값인 경우에는 도 7의 708단계로 이동한다.On the other hand, if the type of the extracted input value in
도 7은 본 발명에 따른 웹 보안 방법 중 웹 응당 정보에 대한 검사를 실시하는 바람직한 실시예의 데이터 흐름도로, 위 도 2의 205 및 206 단계를 보다 상세하게 도시하고 있다.FIG. 7 is a data flow diagram of a preferred embodiment for checking the web response information in the web security method according to the present invention, which shows
위 도 3의 309 단계이후 이상이 없으면 웹 보안 서버는 위 웹 요청 정보에 대응하는 웹 응답 정보를 생성(1001)시킨 후 위 웹 응답 정보에 포함되는 헤더 정보를 검사하여 헤더에 포함되어서는 않되는 정보가 포함되었는지 여부를 미리 설정된 헤더변경기준정보를 기초로 판단하고, 허용되지 않는 정보가 헤더에 포함된 경우 이를 임의의 다른 정보로 변경시키거나 혹은 이를 삭제하여 헤더정보를 변형(1002)시킨다. 그 후 위 웹 응답 정보가 오류페이지인지 여부를 검사(1003)하여 오류페이지인 경우에는 위 1001 단계로 다시 이동한다. 위 1003 단계의 검사결과 오류페이지가 아닌 경우에는 위 웹 응답 정보에 포함된 컨텐츠를 검사(1004)하는데, 이는 공개되어서는 않되는 컨텐츠가 위 웹 응답 정보에 포함되었는지 여부를 미리 저장되어 있는 컨텐츠 검사기준정보를 기초로 검사하게 된다. 여기서 공개되어서는 않된는 컨텐츠에는 예를 들면 웹서버의 디렉토리 정보 등이 포함될 수 있다.If there is no abnormality after
그 후 위 1004 단계의 검사결과 공개되어서는 않되는 정보가 위 웹 응답 정보에 포함되어 있으나, 이를 다른 정보로 변경시켜 위 사용자 컴퓨터에 제공할 경우에는 소정의 미리 설정된 컨텐츠변형기준 정보( 예를 들면 웹 서버의 디렉토리 정보와 같이 공개도어서는 않되는 정보를 "보안상의 이유로 요청하신 정보를 공개되지 않습니다"와 같은 안내 정보로 대체시킬 수 있다 )를 기준으로 위 컨텐츠 내용을 변경시킨다. Thereafter, the information that should not be disclosed as a result of the inspection of
그 후 위 웹 응답 정보에 대응되는 쿠키 정보 및 히든변수 정보를 저장하여 향후 도 3의 307 또는 309 단계에서 사용할 수 있도록 한다.Thereafter, the cookie information and the hidden variable information corresponding to the web response information are stored to be used at
한편, 웹 응답 정보가 소정의 파일을 다운로드 시키는 내용일 때에는 위 다운 로드 되는 파일이 다운로드 금지된 파일인지 여부를 미리 저장되어 있는 다운로드 금지파일 정보를 기초로 판단한다.On the other hand, when the web response information is a content for downloading a predetermined file, it is determined whether the downloaded file is a download prohibited file or not based on previously stored download prohibited file information.
그 후 위 검사결과를 토대로 위 사용자 컴퓨터의 접속을 차단하거나 위 사용자 컴퓨터와 설정되어 있는 세션을 차단할 것인지 여부를 판단(1008)하는데, 항상 신뢰할 수 있는 아이피 주소를 독출 하여 위 사용자 컴퓨터의 아이피 주소가 위 독출된 항상 신뢰할 수 있는 아이피 주소와 동일한 경우에는 위 웹 응답정보를 검사결과와 무관하게 상기 사용자 컴퓨터에 전송한다. 그러나 위 사용자 컴퓨터의 아이피가 항상 신뢰할 수 있는 아이피 주소와 다르고, 위 검사결과 해킹시도가 있거나 허용되지 않는 컨텐츠를 요청한 경우에는 위 사용자 컴퓨터의 아이피 주소를 공격 아이피 주소 데이터베이스에 저장한다.Then, based on the above test result, it is determined whether to block access to the user's computer or to disconnect the session established with the user's computer (1008). The IP address of the user's computer is always read by reading a reliable IP address. If the same read IP address is always trusted, the web response information is transmitted to the user's computer regardless of the test result. However, if the IP of the user's computer is different from the trusted IP address at all times, and the result of the above check is to request hacking or disallowed contents, the IP address of the user's computer is stored in the attacking IP address database.
그 후 1008 단계에서 판단결과 웹 응답정보를 전송하여도 되는 것으로 판단한 경우에는 웹 응답 정보를 위 사용자 컴퓨터에 전송(709)하고, 위 1008 단계에서 위 사용자 컴퓨터의 접속을 차단할 것으로 판단한 경우에는 미리 저장된 차단 웹페이지 정보를 독출 하여 이를 위 위 사용자 컴퓨터에 전송하고, 사용자 컴퓨터의 접속을 차단시킨다.If it is determined in
위 사용자 컴퓨터의 접속을 차단시킨 경우 위 내용을 미리 저장되어 있는 웹 보안 서버의 관리자의 휴대전화로 문자메시지를 이용하여 전송하거나, 위 관리자의 이메일 주소로 전송(710)한다. 그리고 위 내용을 로그 파일에 저장시킨다.When the user's computer is blocked from access, the above information is transmitted to the mobile phone of the administrator of the web security server, which is stored in advance, using a text message, or transmitted to the administrator's e-mail address (710). Then save the above to a log file.
한편, 위 로그 파일은 일정기간 당 공격회수, 공격방법 등에 대한 통계분석의 기초정보로 활용된다(711).On the other hand, the log file is used as the basic information of the statistical analysis of the attack number, attack method, etc. per predetermined period (711).
도 8은 본 발명에 따른 웹 보안 방법 중 컨텐츠 변조를 검사하는 바람직한 실시예의 데이터 흐름도이다.8 is a data flow diagram of a preferred embodiment for checking for content tampering in a web security method in accordance with the present invention.
웹 보안 서버는 관리자로부터 웹서버에 저장되어 있는 컨텐츠를 스캔할 것을 명령받으면, 저장되어 있는 컨테츠들을 모두 검색하여 컨텐츠의 생성일자, 크기, 컨텐츠 위치, 그 내용 등의 정보를 포함하는 컨텐츠 관리정보를 생성시켜 저장(801)한다. 한편 관리자가 소정의 컨텐츠를 변경시킨 경우에는 이에 관한 정보를 관라자로부터 입력받아 위 컨텐츠 관리정보를 업데이트 시킨다(802).When the web security server is instructed to scan the contents stored in the web server by the administrator, the web security server searches all the stored contents and stores the contents management information including information on the creation date, size, content location, and the contents of the contents. Create and store (801). On the other hand, if the administrator has changed the predetermined content receives the information about it from the administrator to update the content management information (802).
그 후 웹 보안 서버는 미리 정하여진 주기별로 자신이 저장하고 있는 컨텐츠들을 위 컨텐츠 관리정보를 기초로 검사하여 변조되었는지 여부를 검사(803)하고, 변조된 경우 위 컨텐츠 관리정보를 기초로 변조된 컨텐츠를 복구시킨다.(804) 그리고 이 컨텐츠 변조 및 복구 내용을 관리자 휴대전화번호 또는 이메일 주소 정보를 이용하여 관리자에게 전송한다.Thereafter, the web security server inspects the contents stored by the web security server based on the above contents management information at predetermined intervals, and checks whether the contents have been tampered with (803). In
도 9는 본 발명에 다른 웹 보안 방법 중 웹서버를 감시하는 바람직한 실시예의 데이터 흐름도이다.9 is a data flow diagram of a preferred embodiment for monitoring a web server among web security methods in accordance with the present invention.
웹 보안 서버는 미리 설정된 웹서버 장애판단 기준정보( 예를 들면 웹서버 프로세스가 실행되고 있는지 여부, 웹서버 프로세스의 상태가 정상인지 여부 )를 기초로 웹 보안 서버의 장애여부를 검사(901)하고, 장애가 발생된 경우에는 웹서버 장애 복구기준정보( 예를 들면 웹서버를 리스타트시킴 )에 따라 위 웹 보안서버의 장애를 복구(902)시킨다. 그 후 웹 보안 서버의 장애 및 복구 정보를 관리자의 휴대전화 또는 이메일 주소로 전송하면서, 로그파일에 저장(903)한다.The web security server checks whether the web security server has failed (901) based on preset web server failure determination criteria information (e.g. whether the web server process is running or not). If a failure occurs, the server recovers the failure of the web security server according to the web server failure recovery reference information (for example, restarting the web server) (902). Thereafter, the failure and recovery information of the web security server is transmitted to the administrator's mobile phone or e-mail address and stored in the log file (903).
도 10은 본 발명에 따른 웹 보안 서버의 바람직한 실시예의 블록구성도이다. 본 발명에 따른 웹 보안 서버는 웹 요청 정보 수신부(1001), 웹 요청 정보 검사부(1002), 웹 응답 정보 생성부(1003), 웹 응답 정보 검사부(1004), 웹 응답부(1005)를 포함하며, 컨텐츠 검사 및 복구부(1006), 기준정보 관리부(1007), 통계처리부(1008)를 더 포함할 수 있다.10 is a block diagram of a preferred embodiment of a web security server according to the present invention. The web security server according to the present invention includes a web request
웹 요청 정보 수신부(1001)는 상기 사용자 컴퓨터로부터 소정의 웹 요청 정보를 전송받는 기능을 수행한다.The web request
웹 요청 정보 검사부(1002)는 기준정보를 기초로 상기웹 요청 정보 수신부로부터 제공받은 상기 웹 요청 정보에 소정 방법의 해킹시도가 포함되어 있는지 여부를 판단하는 기능을 수행하며, 상기 웹 요청 정보 검사부(1002)에서 웹 요청 정보를 검사하는 방법은 도 3에서 상세히 설명한 방법과 같다.The web request
웹 응답 정보 생성부(1003)는 상기 웹 요청 정보 검사부의 판단결과 해킹시도가 없는 것으로 판단되는 경우에는 상기 웹 요청 정보에 대응되는 웹 응답 정보를 생성시키는 기능을 수행한다.The web
웹 응답 정보 검사부(1004)는 상기 기준정보를 기초로 상기 웹 응답 정보 생성부로부터 제공받은 상기 웹 응답정보를 검사하여 소정의 허용되지 않는 컨텐츠가 포함되어 있는지 여부를 판단하는 기능을 수행하는데, 상기 웹 응답 정보 검사부(1004)에서 웹 응답 정보를 검사하는 상세한 방법은 도 4에서 설명한 방법과 같다.The web response
웹 응답부(1005)는 상기 웹 응답 정보 검사부의 상기 판단결과 상기 웹 응답 정보에 상기 허용되지 않는 컨텐츠가 포함되어 있지 않은 경우에는 상기 웹 응답정 보를 상기 웹 요청 정보를 상기 사용자 컴퓨터에 전송하는 기능을 수행하며, 상기 웹 요청 정보에 소정 방법의 해킹 시도가 포함되어 있거나 상기 웹 응답정보에 상기 허용되지 않는 컨텐츠가 포함되어 있는 경우에는 상기 사용자 컴퓨터의 접속을 차단할 것인지 여부를 미리 설정된 소정의 기준에 따라서 판단하여 차단할 경우에는 미리 저장된 차단 웹 페이지의 웹 정보를 독출하여 이를 상기 사용자 컴퓨터에 전송하고 상기 사용자 컴퓨터와의 접속을 차단하거나, 상기 사용자 컴퓨터와 연결되어 있는 세션을 차단하는 기능을 수행한다.The
컨텐츠 검사 및 복구부(1006)는 저장되어 있는 컨텐츠들의 생성일, 크기, 내용에 관한 정보를 독출하여 생성된 컨텐츠 관리정보를 생성시켜 저장하고, 일정한 주기별로 자신이 저장하고 있는 컨텐츠들이 변조되었는지 여부를 상기 컨텐츠 관리정보를 기초로 검사하고, 상기 검사결과 상기 컨텐츠들이 변조된 경우에는 상기 미리 저장되어 있는 저장된 컨텐츠관리정보를 기초로 변조된 컨텐츠들을 복구시키는 기능을 수행한다.The content inspecting and restoring
기준정보 관리부(1007)는 인터넷을 통하여 소정의 사용자 컴퓨터로부터 전송받은 웹 요청 정보 또는 상기 웹 요청 정보에 대응되는 웹 응답 정보에 소정의 방법의 해킹시도 또는 보안상 허용되지 않는 정보가 포함되어 있는지 여부를 판단하는데 기준이 되는 기준정보를 제공받아 이를 저장하여 관리하는 기능을 수행한다.The reference
통계처리부(1008)는 상기 웹 요청 정보 검사부 및 상기 웹 응답 정보 검사부의 상기 판단결과 정보를 제공받아 이를 저장하고, 일정한 주기별로 상기 저장된 정보들의 통계정보를 생성시키는 기능을 수행한다.The
지금까지 본 발명에 따른 바람직한 실시예를 상세히 살펴보았다. 본 발명의 범위는 위에서 예시한 실시예에 한정되지 않으며 본 발명의 기술적 사상이 적용된 경우라면 모두 본 발명의 범위에 속한다고 할 것이다.So far we looked at the preferred embodiment according to the present invention in detail. The scope of the present invention is not limited to the above-exemplified embodiments, and if the technical spirit of the present invention is applied, all will be said to belong to the scope of the present invention.
한편 본 발명에 따른 방법들은 컴퓨터로 실행시킬 수 있는 컴퓨터 프로그램으로 제작되는 것이 가능하며, 위 컴퓨터 프로그램들은 컴퓨터로 읽을 수 있는 기록매체( CD, 하드디스크, 각종 메모리 등 )에 기록되는 것이 가능하다.Meanwhile, the methods according to the present invention can be produced by a computer program that can be executed by a computer, and the above computer programs can be recorded on a computer-readable recording medium (CD, hard disk, various memories, etc.).
본 발명에 따르면 종래의 웹서버에 대한 보안 방법으로는 방지할 수 없었던 웹 어플리케이션 단의 해킹을 방지할 수 있는 효과가 있으며, 또한 웹서버에 저장되어 있는 컨텐츠가 변조된 경우 이를 즉시 체크하여 복수시킬 수 있는 효과가 있고, 또 웹서버가 정상적으로 동작되지 않는 경우에는 이를 즉시 복구시킬 수 있는 효과가 있다.According to the present invention, it is possible to prevent hacking of a web application stage, which could not be prevented by a conventional security method for a web server. There is an effect that can be, and if the web server does not operate normally, there is an effect that can be restored immediately.
Claims (17)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050040166A KR100732689B1 (en) | 2005-05-13 | 2005-05-13 | Web Security Method and apparatus therefor |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050040166A KR100732689B1 (en) | 2005-05-13 | 2005-05-13 | Web Security Method and apparatus therefor |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20060117693A true KR20060117693A (en) | 2006-11-17 |
| KR100732689B1 KR100732689B1 (en) | 2007-06-27 |
Family
ID=37705133
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020050040166A KR100732689B1 (en) | 2005-05-13 | 2005-05-13 | Web Security Method and apparatus therefor |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100732689B1 (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100852192B1 (en) * | 2006-12-15 | 2008-08-13 | 주식회사 케이티 | Network management apparatus and method thereof, and recoing medium |
| WO2009039434A2 (en) * | 2007-09-21 | 2009-03-26 | Breach Security, Inc. | System and method for detecting security defects in applications |
| KR100963421B1 (en) * | 2008-02-22 | 2010-06-15 | 에스케이 텔레콤주식회사 | Web-page modulation estimation method and web-page modulation estimation system |
| KR100968126B1 (en) * | 2008-02-15 | 2010-07-06 | 한국인터넷진흥원 | System for Detecting Webshell and Method Thereof |
| US7934253B2 (en) | 2006-07-20 | 2011-04-26 | Trustwave Holdings, Inc. | System and method of securing web applications across an enterprise |
| KR101144051B1 (en) * | 2009-01-05 | 2012-05-23 | 주식회사 올앳 | Server, system, and method for providing web contents securely, and a medium having computer readable program for executing the method |
| KR101305755B1 (en) * | 2012-02-20 | 2013-09-17 | 한양대학교 산학협력단 | Appatatus and method for filtering execution of script based on address |
| KR101463053B1 (en) * | 2013-08-07 | 2014-11-19 | 주식회사 페이머스워커 | Method and apparatus for managing web-site connection |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101416523B1 (en) * | 2012-09-25 | 2014-07-09 | 주식회사 시큐아이 | Security system and operating method thereof |
| KR101429120B1 (en) * | 2012-11-16 | 2014-08-13 | 주식회사 시큐아이 | Security system collecting sub-domain name and operating method thereof |
| KR101429107B1 (en) * | 2012-11-16 | 2014-08-13 | 주식회사 시큐아이 | Security system collecting sub-domain name and operating method thereof |
| KR101448953B1 (en) * | 2012-11-20 | 2014-10-13 | 주식회사 시큐아이 | Security system and operating method thereof |
| KR20150135851A (en) | 2014-05-26 | 2015-12-04 | 김영중 | The dried radishleaves for direct cook, do not wash. |
| KR101522139B1 (en) * | 2014-05-26 | 2015-05-20 | 플러스기술주식회사 | Method for blocking selectively in dns server and change the dns address using proxy |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001222425A (en) | 2000-02-10 | 2001-08-17 | Nec Software Kobe Ltd | Virus eradication system and method, and recording medium |
| KR20010105960A (en) * | 2000-05-19 | 2001-11-29 | 이동진 | Interception system of noxious- information in internet |
| KR20030016073A (en) * | 2001-08-20 | 2003-02-26 | 엘지전자 주식회사 | Method and system for user authertication using cookie in web |
| JP2003256370A (en) | 2002-02-26 | 2003-09-12 | Fumiaki Yamazaki | Security information distribution method and security information distribution server |
| JP2003330822A (en) | 2002-05-09 | 2003-11-21 | Alps System Integration Co Ltd | Data relay system having web connection/data relay regulating function and control method for the regulation |
-
2005
- 2005-05-13 KR KR1020050040166A patent/KR100732689B1/en active IP Right Review Request
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7934253B2 (en) | 2006-07-20 | 2011-04-26 | Trustwave Holdings, Inc. | System and method of securing web applications across an enterprise |
| KR100852192B1 (en) * | 2006-12-15 | 2008-08-13 | 주식회사 케이티 | Network management apparatus and method thereof, and recoing medium |
| WO2009039434A2 (en) * | 2007-09-21 | 2009-03-26 | Breach Security, Inc. | System and method for detecting security defects in applications |
| WO2009039434A3 (en) * | 2007-09-21 | 2009-05-28 | Breach Security Inc | System and method for detecting security defects in applications |
| KR100968126B1 (en) * | 2008-02-15 | 2010-07-06 | 한국인터넷진흥원 | System for Detecting Webshell and Method Thereof |
| KR100963421B1 (en) * | 2008-02-22 | 2010-06-15 | 에스케이 텔레콤주식회사 | Web-page modulation estimation method and web-page modulation estimation system |
| KR101144051B1 (en) * | 2009-01-05 | 2012-05-23 | 주식회사 올앳 | Server, system, and method for providing web contents securely, and a medium having computer readable program for executing the method |
| KR101305755B1 (en) * | 2012-02-20 | 2013-09-17 | 한양대학교 산학협력단 | Appatatus and method for filtering execution of script based on address |
| KR101463053B1 (en) * | 2013-08-07 | 2014-11-19 | 주식회사 페이머스워커 | Method and apparatus for managing web-site connection |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100732689B1 (en) | 2007-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100732689B1 (en) | Web Security Method and apparatus therefor | |
| RU2622870C2 (en) | System and method for evaluating malicious websites | |
| US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
| JP5992488B2 (en) | Cross-site scripting filter | |
| US8024804B2 (en) | Correlation engine for detecting network attacks and detection method | |
| KR101890272B1 (en) | Automated verification method of security event and automated verification apparatus of security event | |
| CN111400722B (en) | Method, apparatus, computer device and storage medium for scanning small program | |
| JP4405248B2 (en) | Communication relay device, communication relay method, and program | |
| EP2850781B1 (en) | Methods, systems, and computer readable media for measuring detection accuracy of a security device using benign traffic | |
| CN113660224B (en) | Situation awareness defense method, device and system based on network vulnerability scanning | |
| EP3987728B1 (en) | Dynamically controlling access to linked content in electronic communications | |
| Nagpal et al. | SECSIX: security engine for CSRF, SQL injection and XSS attacks | |
| CN113726790A (en) | Network attack source identification and blocking method, system, device and medium | |
| Gupta et al. | Robust injection point-based framework for modern applications against XSS vulnerabilities in online social networks | |
| Rodríguez et al. | Cookie scout: An analytic model for prevention of cross-site scripting (xss) using a cookie classifier | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| Rao | Defending against web vulnerabilities and cross-site scripting | |
| Panwar et al. | An analysis of the prevention and detection of cross site scripting attack | |
| Stephen et al. | Prevention of cross site scripting with E-Guard algorithm | |
| Tiwari et al. | Optimized client side solution for cross site scripting | |
| Nilsson et al. | Vulnerability scanners | |
| Rao et al. | A Three-Pronged Approach to Mitigate Web Attacks | |
| Almi | Web Server Security and Survey on Web Application Security | |
| Bernardo | Targeted attack detection by means of free and open source solutions | |
| JP2011258018A (en) | Security server system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| J204 | Request for invalidation trial [patent] | ||
| J301 | Trial decision |
Free format text: TRIAL DECISION FOR INVALIDATION REQUESTED 20070920 Effective date: 20080507 |
|
| FPAY | Annual fee payment |
Payment date: 20120402 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20130404 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20160617 Year of fee payment: 10 |
|
| FPAY | Annual fee payment |
Payment date: 20190617 Year of fee payment: 13 |