KR20070061017A - 웹어플리케이션 공격 차단 장치 및 방법 - Google Patents

웹어플리케이션 공격 차단 장치 및 방법 Download PDF

Info

Publication number
KR20070061017A
KR20070061017A KR1020060031486A KR20060031486A KR20070061017A KR 20070061017 A KR20070061017 A KR 20070061017A KR 1020060031486 A KR1020060031486 A KR 1020060031486A KR 20060031486 A KR20060031486 A KR 20060031486A KR 20070061017 A KR20070061017 A KR 20070061017A
Authority
KR
South Korea
Prior art keywords
attack
service request
request data
web service
value
Prior art date
Application number
KR1020060031486A
Other languages
English (en)
Inventor
김환국
김명은
서동일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US11/634,736 priority Critical patent/US20070136809A1/en
Publication of KR20070061017A publication Critical patent/KR20070061017A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

웹어플리케이션 공격 차단 장치 및 방법이 개시된다. 이 장치는 웹서비스 요청 데이터에 포함된 입력값을 검증하여 공격을 판단하는 입력값 검증부; 상기 공격으로 판단된 웹서비스 요청 데이터에 대해, 상기 데이터에 포함된 공격요소를 제거하는 편집을 수행하는 입력값 필터링부; 및 상기 공격으로 판단되지 않은 웹서비스 요청 데이터 및 상기 편집된 웹서비스 요청 데이터를 웹서버로 전달하는 데이터 전달부를 포함하는 것을 특징으로 한다. 본 발명에 따르면, 변형된 웹어플리케이션 공격을 실시간으로 차단할 수 있다.

Description

웹어플리케이션 공격 차단 장치 및 방법{apparatus and method for blocking attack into Web-application}
도 1은 본 발명의 일실시예에 따른 웹어플리케이션 공격 차단 장치를 설명하기 위한 도면이다.
도 2는 본 발명의 일실시예에 따른 웹어플리케이션 공격 차단 장치의 구성을 나타내는 블록도이다.
도 3은 본 발명의 일실시예에 따른 웹어플리케이션 공격 차단 장치 및 방법의 동작을 나타내는 흐름도이다.
본 발명은 웹 어플리케이션 공격을 차단하는 장치 및 방법에 관한 것으로, 보다 상세하게는 웹 서비스 요청 클라이언트와 웹 서버 중간에 위치하여 웹 서비스 요청 데이터을 이용한 공격을 차단하는 장치 및 방법에 관한 것이다.
최근 가트너 그룹의 보고서에서 웹어플리케이션 공격의 75%가 애플리케이션 계층에서 수행되었다고 밝힌 바 있으며, CERT(Computer Emergency Response Team)에서도 전체 해킹의 약 70%가 웹 해킹으로 분석되고 있다고 발표해 웹 어플리케이 션 공격이 심각한 수준임을 알 수 있다.
이러한 웹어플리케이션 공격의 특징은 웹어플리케이션 프로그램 코드가 사용자 입력값을적절히 필터링 해주지 않아서 발생하는 경우가 많으며, 웹서비스 요청 데이터를 다양한 형태로 변조가 가능하다. 따라서, 변조가 가능한 웹어플리케이션 공격에 효과적으로 대응하기 위한 웹어플리케이션 공격 대응 시스템 개발이 필요하다.
본 발명이 이루고자 하는 기술적 과제는, 변형된 웹어플리케이션 공격을 실시간으로 차단하는 웹어플리케이션 공격 차단 장치 및 방법을 제공하는 데 있다.
상기의 기술적 과제를 이루기 위한, 본 발명에 의한 웹어플리케이션 공격 차단 장치는 웹서비스 요청 데이터에 포함된 입력값을 검증하여 공격을 판단하는 입력값 검증부; 상기 공격으로 판단된 웹서비스 요청 데이터에 대해, 상기 데이터에 포함된 공격요소를 제거하는 편집을 수행하는 입력값 필터링부; 및 상기 공격으로 판단되지 않은 웹서비스 요청 데이터 및 상기 편집된 웹서비스 요청 데이터를 웹서버로 전달하는 데이터 전달부를 포함하는 것을 특징으로 한다.
상기의 다른 기술적 과제를 이루기 위한, 본 발명에 의한 웹어플리케이션 공격 차단 방법은 (a) 웹서비스 요청 데이터에 포함된 입력값을 검증하여 공격을 판단하는 단계; (b) 상기 공격으로 판단된 웹서비스 요청 데이터에 대해, 상기 데이터에 포함된 공격요소를 제거하는 편집을 수행하는 단계; 및 (c) 상기 공격으로 판 단되지 않은 웹서비스 요청 데이터 및 상기 편집된 웹서비스 요청 데이터를 웹서버로 전달하는 단계를 포함하는 것을 특징으로 한다.
이하, 첨부된 도면들을 참조하여 본 발명에 따른 방법 및 장치에 대해 상세히 설명한다.
주요 웹 애플리케이션 취약점을 살펴 보면 다음과 같다.
첫째, 입력값 파라미터 검증 부재라는 취약점이다. 클라이언트로부터 웹 애플리케이션이 요청을 받았을 때 그 요청이 적절한 값인지 여부를 검증하지 않음으로 인해 백엔드에 존재하는 허가되지 않은 자원에 접근할 수 있는 취약성이며, URL, 쿼리 문, HTTP 헤더, 폼 필드, 쿠키, 그리고 숨겨진 필드 등의 웹 요청(HTTP request) 들을 강제로 브라우징 한다거나 명령어 삽입, 쿠키 위/변조등을 통해서 보안 메커니즘을 우회할 수 있다.
둘째, 크로스 사이트 스크립팅 취약성(Cross-site Scripting)이다. 웹어플리케이션이 사용자의 입력값에 자바 스크립트문, HTML 태그들을 허용함으로써 변조가 가능함으로써 발생한다.
셋째, SQL 인젝션(SQL Injection) 취약성의 경우, 데이터베이스에 쿼리(Query)를 요청할 때, - (space) % 등의 SQL 관련하여 허용되지 않는 특수문자들이 사용자의 입력값에 포함되어 있을 경우 에러 처리를 하지 않아 쿼리문에 공격성 내용을 필터링되지 않아 발생되는 문제점이다.
넷째, IDS 우회 취약성으로서, URL 필드에 헥사코드, 유니코드, 그리고 윈도우즈 %u 코드를 사용하여 IDS를 우회가 가능하여 이를 이용하여 공격을 하는 것이 다.
이러한 웹어플리케이션 공격의 특징은 웹어플리케이션 프로그램 코드가 사용자 입력값을 적절히 필터링 해주지 않아서 발생하는 경우가 많으며, 웹서비스 요청 데이터를 다양한 형태로 변조가 가능하다. 그러나, 시그니쳐 기반의 기존 보안 솔루션으로는 효과적으로 방어할 수 없다. 방화벽의 경우, 웹 서버의 정상적인 서비스를 위해서는 TCP 80 포트로의 접근을 허용해야 하고, IPS의 경우, 기본적으로 통신의 가장 작은 단위인 패킷 단위의 분석이 이뤄지기 때문에 일정한 시그니쳐 패턴을 가진 공격에 대한 방어만이 가능하다.
이러한 웹어플리케이션 취약점을 예방할 수 있는 최선의 방안은 헤더, 쿠키, 질의문, 폼 필드와 숨겨진 필드 등에 모든 파라미터들을 엄격한 허용 규칙에 의한 검증 및 정규표현식 변환 등으로 필터링하는 것이다.
도 1은 본 발명의 일실시예에 따른 웹어플리케이션 공격 차단 장치를 설명하기 위한 도면이다.
도 1에 도시한 바와 같이 입력값 검증 필터링을 이용한 웹어플리케이션 공격 차단 장치는 웹서비스 요청 클라이언트와 웹서버 중간에 위치하며, 웹서비스 요청을 중간에 하이재킹하는 방식으로 웹어플리케이션 공격에 사용되는 입력 파라메터 값에 대한 검증을 통하여 웹어플리케이션 공격을 탐지하고 공격에 사용된 입력값을 필터링한 웹서비스 요청 데이터를 웹서버에 전달하는 기능을 수행한다.
도 2는 본 발명의 일실시예에 따른 웹어플리케이션 공격 차단 장치의 구성을 나타내는 블록도로서, 클라이언트 시스템(200), 관리자 입력부(210), 공격규칙 데 이터베이스(220), 서비스 요청 수신부(230), 입력값 검증부(240), 입력값 필터링부(250), 데이터 전달부(260) 및 웹서버 시스템(270)을 포함하여 이루어진다.
클라이언트 시스템(200)은 웹 서비스 요청 데이터를 송신한다.
관리자 입력부(210)는 관리자로부터 웹어플리케이션 공격패턴 규칙에 대한 입력을 받고, 공격 규칙 데이터베이스(220)로 전달한다.
공격 규칙 데이터베이스(220)는 전달받은 웹어플리케이션 공격패턴 규칙을 저장한다. 즉, 웹어플리케이션 공격으로 판단되는 SQL 쿼리 데이터 형식(문자, 정수, 실수 등), 허용되는 문자셋(특수문자), 최소, 최대 허용 길이, NULL 값의 허용 여부, 파라미터의 허용 여부, 허용되는 숫자 범위, 정규 표현식 등의 공격 패턴 규칙이 공격 규칙 데이터베이스(220)에 저장된다.
서비스 요청 수신부(230)는 클라이언트 시스템(200)에서 송신한 웹 서비스 요청 데이터를 수신한다.
입력값 검증부(240)는 서비스 요청 수신부(230)에서 수신된 웹서비스 요청 데이터에 포함된 입력값을 검증하여 공격을 판단한다. 즉, URL, 쿼리문, HTTP 헤더, 폼/스크립트 필드, 쿠키 및 숨겨진 필드 등을 통한 웹서비스 요청 데이터에 대하여 URL 입력 파라미터 체크, 폼/스크립트 변수값 체크, IDS 우회 인코딩 체크, SQL 쿼리 체크 등을 통해 사용자 입력값을 검증한다. 한편, 입력값 검증은 공격 규칙 데이터베이스(220)에 저장된 공격 패턴 규칙을 기초로, 상기 수신된 웹서비스 요청 데이터에 공격요소가 포함되어 있는지를 판단하나, 입력값 검증부(240)에 상술한 공격규칙이 저장되었다면 공격규칙 데이터베이스(220)는 생략가능함은 물론이 다. 이때, 입력값 검증부(240)에서 검증된 값이 웹어플리케이션 공격 패턴 규칙과 일치하면, 웹어플리케이션 공격으로 판단하고, 수신된 웹 서비스 요청 데이터를 입력값 필터링부(250)로 전달하고, 웹어플리케이션 공격이 아니라고 판단되면, 수신된 웹 서비스 요청 데이터를 데이터 전달부(260)로 전달한다.
여기서, 도 2를 참조하면 입력값 검증부(240)는, URL 입력 파라미터 검증부(242), 폼/스크립트 변수필드 검증부(244), IDS 우회 인코딩 검증부(246) 및 SQL 쿼리 검증부(248)를 포함하여 이루어 질 수 있다.
URL 입력 파라미터 검증부(242)는, 잘못된 URL 입력 파라미터 값을 탐지하여, 잘못된 URL 입력 파라미터 값이 검출되면, 웹어플리케이션 공격으로 판단한다. 여기서, 잘못된 URL 입력 파라미터의 예로는, "//////////"요청(request)로서, 이는 아파치 버그를 익스플로잇하기 위한 패턴이다.
폼/스크립트 변수필드 검증부(244)는 폼/스크립트 변수 값(POST, GET, <script>, $변수)을 검증한다. 즉, 크로스 사이트 스크립트 공격에 사용되는 폼/스크립트 변수 값을 탐지하고, 그러한 폼/스크립트 변수 값이 검출되면, 웹어플리케이션 공격으로 판단한다. " ( and ) " 요청을 예를 들 수 있으며, 이 값은 크로스 사이트 스크립트 공격에 사용되는 패턴이다.
IDS 우회 인코딩 검증부(246)는 IDS 우회를 위해 변조된 코딩값을 탐지하여, IDS 우회를 위해 변조된 코딩 값이 검출되면, 웹어플리케이션 공격으로 판단한다. IDS 우회를 위해 변조된 코딩의 예로는, 헥사코드를 이용한 우회를 들 수 있는데, "http://xxx/script.ext?template=%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%7 7%64"값은 "http://xxx/script.ext?template=../../etc/passwd"을 의미한다.
SQL 쿼리 검증부(248)는 SQL과 관련하여 허용되지 않은 문자를 탐지하고, 이러한 문자가 검출되면, 웹어플리케이션 공격으로 판단한다. 예컨대, " ' " 요청은 SQL 인젝션 공격을 시도하고 있는 가능성이 있는 패턴이다.
입력값 필터링부(250)는 웹 어플리케이션 공격으로 판단되는 웹서비스 요청 데이터에 대해, 상기 데이터에 포함된 공격요소를 제거하는 편집을 수행하고, 편집된 웹서비스 요청 데이터를 데이터 전달부(260)에 제공한다. 즉, 입력값 필터링부(250)에서는 1) 공격패턴에 주로 사용되는 비허가 특수문자(*, <, +, /// 등)를 제거 하거나, 2) 헤더, 쿠키, 질의문, 폼 필드와 숨겨진 필드 등과 같은 모든 파라미터들을 검증하여 왼쪽의 필드의 입력 데이터를 오른쪽의 필드로 변환(<=&lt; >=&gt;, (=$#40; )=&#35) 하는 변환하거나, 3) ; , - (space) % 와 같은 sql 관련 특수 문자들이 사용자의 입력값에 포함되어 있을 경우 에러 처리를 수행하고, 헥사 코드로 변환된 공격 패턴을 정규표현식으로 변환 등의 동작을 수행하여 웹서비스 요청 입력값에 대한 적절한 삭제, 변환, 필터링을 수행한다. 한편, 입력값 필터링부(250)는 관리자에게 탐지결과 및 필터링된 웹어플리케이션 공격에 대한 리포팅 기능이 부여될 수 있다.
도 2를 참조하면, 입력값 필터링부(250)는 특수문자 제거부(252), 변수값 제거부(254), 정규표현식 변환부(256) 및 쿼리 변환부(258)를 포함하여 이루어질 수 있다.
특수문자 제거부(252)는 공격으로 판단된 웹서비스 요청 데이터에 포함된, 허가되지 않은 특수문자를 사용한 입력 파라미터 값을 제거한다. 공격 패턴에 주로 사용되는 비허가 특수문자의 예로는 *, <, +, /// 등을 들 수 있다.
변수값 제거부(254)는 공격으로 판단된 웹서비스 요청 데이터에 포함된, 크로스 사이트 스크립팅 공격에 사용되는 자바 스크립트문을 제거한다.
정규표현식 변환부(256)는 공격으로 판단된 웹서비스 요청 데이터에 포함된, IDS 우회 인코딩으로 사용된 코딩값을 변환한다. 예컨대, 헥사코드로 변환된 공격 패턴을 정규표현식으로 변환한다.
쿼리 변환부(258)는 공격으로 판단된 웹서비스 요청 데이터에 포함된, SQL 관련하여 허용되지 않은 특수문자를 제거한다. 예컨대, ' ' ; , - (space) % 와 같은 SQL 관련 특수문자들이 사용자의 입력값에 포함되어 있을 경우 이를 제거하거나, 에러 처리를 하는 것이다.
입력값 필터링부(250)에서 편집하는 예는 다음과 같다. "http://xxx.xxx.xxx.xxx/../../../../////////////////////////////////////////"가 입력되면, "http://xxx.xxx.xxx.xxx/"로 출력한다. "http://xxx.xxx.xxx.xxx /index.php?stupid=<img%20src=javascript:alert(document.domain)>"가 입력되면, "http://xxx.xxx.xxx/index.php?stupid==<img%20src=>"가 출력된다. "http://xxx/ script.ext?template=%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64"가 입력되면, "http://xxx/script.ext?template="가 출력된다.
도 3은 본 발명의 일실시예에 따른 웹어플리케이션 공격 차단 장치 및 방법의 동작을 나타내는 흐름도이다.
도 3을 참조하면, 웹서비스 요청 데이터가 서비스 요청 수신부(230)에 의해 수신된다(S300). 한편, S300 단계 이전에, 공격규칙데이터베이스(220)에는 관리자가 관리자 입력부(210)를 통하여 웹어플리케이션 공격 패턴 규칙이 저장될 수 있다.
수신된 웹서비스 요청 데이터에 포함된 입력값이 입력값 검증부(240)에 의해 검증되며(S310), 그 검증결과에 따라 공격여부가 판단된다(S320). S320 단계에서, 웹어플리케이션 공격이 아니라고 판단되면, 수신된 웹서비스 요청 데이터는 입력값 검증부(240)에 의해 데이터 전달부(260)로 전달된다. 웹어플리케이션 공격이라고 판단되면, 수신된 웹서비스 요청 데이터는 입력값 검증부(240)에 의해 입력값 필터링부(250)로 전달된다.
S320 단계에서, 공격으로 판단된 웹서비스 요청 데이터에 대해, 상기 데이터에 포함된 공격요소를 제거하는 편집이 입력값 필터링부(250)에 의해 수행된다(S330). 한편, 입력값 필터링부(250)는 필터링 결과 등을 관리자에게 보고할 수도 있다(S340).
편집된 웹서비스 요청 데이터 또는 공격이 아니라고 판단된 데이터는 데이터 전달부(260)에 의해 웹서버 시스템(270)에 전달된다(S350).
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있으며, 또한 케리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고, 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
이러한 본원 발명인 방법 및 장치는 이해를 돕기 위하여 도면에 도시된 실시예를 참고로 설명되었으나, 이는 예시적인 것에 불과하며, 당해 분야에서 통상적 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위에 의해 정해져야 할 것이다.
본 발명에 따르면, 입력값 검증 필터링 방식을 이용하여 변형된 웹어플리케이션 공격에 대하여 실시간으로 대응할 수 있다. 또한, 기존의 웹어플리케이션 보안 장비가 웹해킹에 대해 패킷을 차단하는 수동적인 방어 방식에서 벗어나 웹어플리케이션 공격을 정상적인 패턴으로 변환시키는 방식을 사용함으로써 공격자의 해킹 의욕을 감소시키는 효과가 있다.

Claims (11)

  1. 웹서비스 요청 데이터에 포함된 입력값을 검증하여 공격을 판단하는 입력값 검증부;
    상기 공격으로 판단된 웹서비스 요청 데이터에 대해, 상기 데이터에 포함된 공격요소를 제거하는 편집을 수행하는 입력값 필터링부; 및
    상기 공격으로 판단되지 않은 웹서비스 요청 데이터 및 상기 편집된 웹서비스 요청 데이터를 웹서버로 전달하는 데이터 전달부를 포함하는 것을 특징으로 하는 웹어플리케이션 공격 차단 장치.
  2. 제1항에 있어서, 상기 입력값 검증부는,
    상기 웹서비스 요청 데이터에 대해, URL 입력 파라미터 체크, 폼/스크립트 변수값 체크, IDS 우회 인코딩 체크, SQL 쿼리 체크 중 적어도 하나를 수행하여 상기 입력값을 검증하는 것을 특징으로 하는 웹어플리케이션 공격 차단 장치.
  3. 제1항에 있어서, 상기 입력값 검증부는,
    잘못된 URL 입력 파라미터 값을 탐지하는 URL 입력 파라미터 검증부;
    크로스 사이트 스크립트 공격에 사용되는 폼/스크립트 변수값을 탐지하는 폼/스크립트 변수필드 검증부;
    IDS 우회를 위해 변조된 코딩값을 탐지하는 IDS 우회 인코딩 검증부; 및
    SQL과 관련하여 허용되지 않은 문자를 탐지하는 SQL 쿼리 검증부를 포함하는 것을 특징으로 하는 웹어플리케이션 공격 차단 장치.
  4. 제1항에 있어서, 상기 입력값 필터링부는,
    상기 공격으로 판단된 웹서비스 요청데이터에 대해, 비허가 특수 문자 제거, 변수값 제거, 쿼리 변환, 정규 표현식 변환 중 적어도 하나를 수행하여 공격 요소를 제거하는 것을 특징으로 하는 웹어플리케이션 공격 차단 장치.
  5. 제1항에 있어서, 상기 입력값 필터링부는,
    상기 공격으로 판단된 웹서비스 요청 데이터에 포함된, 허가되지 않은 특수문자를 사용한 입력 파라미터 값을 제거하는 비허가 특수문자 제거부;
    상기 공격으로 판단된 웹서비스 요청 데이터에 포함된, 크로스 사이트 스크립팅 공격에 사용되는 자바 스크립트문을 제거하는 변수값 제거부;
    상기 공격으로 판단된 웹서비스 요청 데이터에 포함된, IDS 우회 인코딩으로 사용된 코딩값을 변환하는 정규표현식 변환부; 및
    상기 공격으로 판단된 웹서비스 요청 데이터에 포함된, SQL 관련하여 허용되지 않은 특수문자를 제거하는 쿼리 변환부를 포함하는 것을 특징으로 하는 웹어플리케이션 공격 차단 장치.
  6. (a) 웹서비스 요청 데이터에 포함된 입력값을 검증하여 공격을 판단하는 단 계;
    (b) 상기 공격으로 판단된 웹서비스 요청 데이터에 대해, 상기 데이터에 포함된 공격요소를 제거하는 편집을 수행하는 단계; 및
    (c) 상기 공격으로 판단되지 않은 웹서비스 요청 데이터 및 상기 편집된 웹서비스 요청 데이터를 웹서버로 전달하는 단계를 포함하는 것을 특징으로 하는 웹어플리케이션 공격 차단 방법.
  7. 제6항에 있어서, 상기 (a) 단계는,
    상기 웹 서비스 요청 데이터에 대해, URL 입력 파라미터 체크, 폼/스크립트 변수값 체크, IDS 우회 인코딩 체크, SQL 쿼리 체크 중 적어도 하나를 수행하여 상기 입력값을 검증하는 단계를 포함하는 것을 특징으로 하는 웹어플리케이션 공격 차단 방법.
  8. 제6항에 있어서, 상기 (a) 단계는,
    잘못된 URL 입력 파라미터 값을 탐지하는 단계;
    크로스 사이트 스크립트 공격에 사용되는 폼/스크립트 변수값을 탐지하는 단계;
    IDS 우회를 위해 변조된 코딩값을 탐지하는 단계; 및
    SQL과 관련하여 허용되지 않은 문자를 탐지하는 단계를 포함하는 것을 특징으로 하는 웹어플리케이션 공격 차단 방법.
  9. 제6항에 있어서, 상기 (b) 단계는,
    상기 공격으로 판단된 웹서비스 요청데이터에 대해, 비허가 특수 문자 제거, 변수값 제거, 쿼리 변환, 정규 표현식 변환 중 적어도 하나를 수행하여 공격 요소를 제거하는 단계를 포함하는 것을 특징으로 하는 웹어플리케이션 공격 차단 방법.
  10. 제6항에 있어서, 상기 (b) 단계는,
    상기 공격으로 판단된 웹서비스 요청 데이터에 포함된, 허가되지 않은 특수문자를 사용한 입력 파라미터 값을 제거하는 단계;
    상기 공격으로 판단된 웹서비스 요청 데이터에 포함된, 크로스 사이트 스크립팅 공격에 사용되는 자바 스크립트문을 제거하는 단계;
    상기 공격으로 판단된 웹서비스 요청 데이터에 포함된, IDS 우회 인코딩으로 사용된 코딩값을 변환하는 단계; 및
    상기 공격으로 판단된 웹서비스 요청 데이터에 포함된, SQL 관련하여 허용되지 않은 특수문자를 제거하는 단계를 포함하는 것을 특징으로 하는 웹어플리케이션 공격 차단 방법.
  11. 제6항 내지 제10항 중 어느 한 항에 기재된 방법을 수행하는 프로그램을 수록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020060031486A 2005-12-08 2006-04-06 웹어플리케이션 공격 차단 장치 및 방법 KR20070061017A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US11/634,736 US20070136809A1 (en) 2005-12-08 2006-12-06 Apparatus and method for blocking attack against Web application

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20050120092 2005-12-08
KR1020050120092 2005-12-08

Publications (1)

Publication Number Publication Date
KR20070061017A true KR20070061017A (ko) 2007-06-13

Family

ID=38356955

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060031486A KR20070061017A (ko) 2005-12-08 2006-04-06 웹어플리케이션 공격 차단 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20070061017A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100894331B1 (ko) * 2006-11-15 2009-04-24 한국전자통신연구원 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법
KR101024444B1 (ko) * 2010-01-26 2011-03-23 주식회사 엘지유플러스 단말에서의 웹어플리케이션 플랫폼 및 웹어플리케이션 플랫폼 동작 방법
CN114745202A (zh) * 2022-05-10 2022-07-12 山东鲁软数字科技有限公司 一种主动防御web攻击的方法及基于主动防御的web安全网关

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100894331B1 (ko) * 2006-11-15 2009-04-24 한국전자통신연구원 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법
KR101024444B1 (ko) * 2010-01-26 2011-03-23 주식회사 엘지유플러스 단말에서의 웹어플리케이션 플랫폼 및 웹어플리케이션 플랫폼 동작 방법
CN114745202A (zh) * 2022-05-10 2022-07-12 山东鲁软数字科技有限公司 一种主动防御web攻击的方法及基于主动防御的web安全网关

Similar Documents

Publication Publication Date Title
US20070136809A1 (en) Apparatus and method for blocking attack against Web application
US7752662B2 (en) Method and apparatus for high-speed detection and blocking of zero day worm attacks
De Ryck et al. Automatic and precise client-side protection against CSRF attacks
CN109167754A (zh) 一种网络应用层安全防护系统
KR101005927B1 (ko) 웹 어플리케이션 공격 탐지 방법
US20030084318A1 (en) System and method of graphically correlating data for an intrusion protection system
KR100732689B1 (ko) 웹 보안방법 및 그 장치
US20030083847A1 (en) User interface for presenting data for an intrusion protection system
US20020133603A1 (en) Method of and apparatus for filtering access, and computer product
US11258815B2 (en) AI-based system for accurate detection and identification of L7 threats
US9336396B2 (en) Method and system for generating an enforceable security policy based on application sitemap
KR102414334B1 (ko) 자율협력주행 도로인프라 위협탐지 방법 및 장치
CN109995720A (zh) 异构设备集中管理方法、装置、系统、设备及介质
Baykara et al. A novel hybrid approach for detection of web-based attacks in intrusion detection systems
KR101658450B1 (ko) 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.
KR20080036706A (ko) 웹 공격 정규표현과 스크립트 파일의 포함 기능을 이용한웹 보안 모듈
KR20070061017A (ko) 웹어플리케이션 공격 차단 장치 및 방법
KR100954758B1 (ko) 웹 애플리케이션 보안 시스템 및 이를 이용한 웹 애플리케이션의 보안 방법
KR20070072835A (ko) 실시간 웹로그 수집을 통한 웹해킹 대응 방법
KR101754195B1 (ko) 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법
Selvamani et al. Protection of web applications from cross-site scripting attacks in browser side
Duraisamy et al. A server side solution for protection of web applications from cross-site scripting attacks
Ponomarev Intrusion Detection System of industrial control networks using network telemetry
KR100695489B1 (ko) 프로파일링 기반 웹 서비스 보안 시스템 및 그 방법
CN113542287A (zh) 网络请求的管理方法和装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application