KR20130110374A - 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템 및 그 시스템의 정보 처리 방법 - Google Patents
웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템 및 그 시스템의 정보 처리 방법 Download PDFInfo
- Publication number
- KR20130110374A KR20130110374A KR1020120032290A KR20120032290A KR20130110374A KR 20130110374 A KR20130110374 A KR 20130110374A KR 1020120032290 A KR1020120032290 A KR 1020120032290A KR 20120032290 A KR20120032290 A KR 20120032290A KR 20130110374 A KR20130110374 A KR 20130110374A
- Authority
- KR
- South Korea
- Prior art keywords
- information
- web
- internet service
- user
- image
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Information Transfer Between Computers (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
본 발명은 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템 및 그 시스템의 정보 처리 방법에 관한 것이다.
본 발명의 인터넷 서비스의 시스템은 사용자 단말기와 정보를 송수신 하는 웹 서버; 웹 인젝션 방지 기능을 수행하는 웹 인젝션 방지 서버; 및 사용자 단말기에 기 설정된 인터넷 정보 서비스를 제공하는 인터넷 서비스 서버;를 포함하며, 상기 웹 인젝션 방지 서버는 이미지화 대상 정보 영역을 이미지화 하는 UI 메타 렌더링 엔진; 및 상기 UI 메타 렌더링 엔진이 이미지화 한 이미지 정보와 사용자 입력 영역을 결합하는 바인딩 모듈;을 포함하는 것을 특징으로 한다.
본 발명을 활용하면 웹 인젝션이 효과적으로 방지될 수 있으며, 웹을 통한 서비스가 보안성이 높아져 인터넷 서비스를 이용하는 사용자 뿐만 아니라, 인터넷 서비스 제공자도 불측의 피해를 줄일 수 있다.
본 발명의 인터넷 서비스의 시스템은 사용자 단말기와 정보를 송수신 하는 웹 서버; 웹 인젝션 방지 기능을 수행하는 웹 인젝션 방지 서버; 및 사용자 단말기에 기 설정된 인터넷 정보 서비스를 제공하는 인터넷 서비스 서버;를 포함하며, 상기 웹 인젝션 방지 서버는 이미지화 대상 정보 영역을 이미지화 하는 UI 메타 렌더링 엔진; 및 상기 UI 메타 렌더링 엔진이 이미지화 한 이미지 정보와 사용자 입력 영역을 결합하는 바인딩 모듈;을 포함하는 것을 특징으로 한다.
본 발명을 활용하면 웹 인젝션이 효과적으로 방지될 수 있으며, 웹을 통한 서비스가 보안성이 높아져 인터넷 서비스를 이용하는 사용자 뿐만 아니라, 인터넷 서비스 제공자도 불측의 피해를 줄일 수 있다.
Description
본 발명은 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템 및 그 시스템의 정보 처리 방법에 관한 것으로서, 더욱 더 상세하게는 이미지 프레임화된 화면 데이터를 생성하여 웹 인젝션이 방지되도록 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템 및 그 시스템의 정보 처리 방법이다.
인터넷 ASP서비스를 하는 서비스 프로바이더는 고객이 해킹을 당했을 경우, 서비스 제공자가 본인의 서비스에 문제가 없음을 증명해야 할 의무가 있다. 현재 보안 강도가 높은 뱅킹이라 하더라도 웹 인젝션이란 방식을 통해 고객이 실제 보는 화면이 위변조될 수 있다. 이에 따라 서비스 제공자는 보안이 강화된 서비스를 제공하고, 필요 시 고객이 보는 화면이 해킹 툴에 의해 위변조되지 않았음을 증명해야 할 필요가 있을 것이다.
대부분의 온라인 뱅킹 등 웹 사이트들은 키로깅(keylogging) 공격이나 네트워크-스니핑(network-sniffing) 공격을 회피하기 위해 보안성을 강화하고 있다. 그러다 보니 이제 사용자의 정보를 탈취하는 공격은 HTML 인젝션 기술을 이용하여 이를 우회하고 있다. HTML 인젝션 공격은 실제 정보가 네트워크로 전송되기 전에 사용자가 보게 되는 웹 화면을 변조하는 것으로, 일반적인 키보드 보안이나 네트워크 보안 등의 기법으로는 대응하기 어렵다.
제우스라는 바이러스는 이러한 HTML 인젝션 공격을 쉽게 할 수 있으며, 구성파일에 몇 줄을 추가하여 간단히 공격할 수 있다. 예를 들어, 도 2에서와 같이 원래 ‘성명’과 ‘전화번호’만 입력하는 웹 페이지를 제우스 등의 웹 인젝션 툴을 통해 변조하여 그 사이에 도 3과 같이 ‘주민번호’를 입력하도록 변경할 수 있다. 변조된 사실을 모르는 사용자가 ‘주민번호’를 입력하게 되면 이 정보는 공격자와 관련된 서버로 전송된다.
하기는 ZeuS에 의해서 변조된 코드이다.
set_url http://www.OOOO.com/event.htm GP
data_before
name='성명'</tr>
data_end
data_inject
<tr><td>주민번호:</td><td><input=”text” name=”p_number” id=”p_number”/></td></tr>
data_end
data_after
data_end
……
상기 코드에 의해서 도 2의 정상적인 웹 페이지 부분이 도 3과 같은 주민등록번호를 입력하는 필드가 추가되어 주민등록번호의 입력이 유도되는 변조된 웹 페이지 부분으로 변하게 된다.
따라서, 이러한 웹 인젝션을 효과적으로 방지하기 위한 기술의 개발이 절실히 요구되어 왔다.
본 발명이 해결하고자 하는 과제는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템을 개시하는 것이다.
본 발명이 해결하고자 하는 다른 과제는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 정보 처리 방법을 개시하는 것이다.
본 발명이 이루고자 하는 기술적 과제를 달성하기 위하여, 인터넷 서비스의 시스템의 정보 처리 방법에 있어서, (A) 사용자 단말기로부터 특정 웹 페이지에 대한 호출을 요청받는 단계; (B) 상기 웹 페이지를 구성하는 정보 중 이미지화 대상 정보를 이미지 프레임화된 화면 데이터로 구성하는 단계; 및 (C) 상기 이미지 프레임화된 화면 데이터를 상기 사용자 단말기로 전송하는 단계;를 포함하며, 상기 이미지 프레임화된 화면 데이터는 사용자 입력 전체 영역을 이미지화하고, 사용자가 입력하는 입력 필드 영역은 입력 가능한 형태로 처리되는 것인 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 정보 처리 방법을 제시한다.
(D) 상기 사용자 단말기로부터 사용자의 입력이 포함된 웹 페이지 정보를 입수 받는 단계; (E) 상기 입수 받은 웹 페이지에 포함된 정보를 사용하여 이미지화된 사용자 확인 정보를 생성하는 단계; 및 (F) 상기 이미지화된 사용자 확인 정보를 상기 사용자 단말기에 전송하는 단계;를 더 포함하는 것이 바람직하다.
상기 이미지화된 사용자 입력 영역 내에는 사용자가 입력할 수 있는 적어도 하나 이상의 입력 빈칸이 포함되어 있는 것인 것이 바람직하다.
상기 (B) 이미지 프레임화된 화면 데이터는 상기 이미지화된 사용자 입력 영역을 배경에 깔고, 상기 배경 위에 입력 박스를 보여 주는 방식으로 처리되는 것인 것이 바람직하다.
(G) 상기 사용자 단말기가 상기 인터넷 서비스 시스템으로부터 이미지를 받았는지 체크 가능하도록 처리하는 단계;를 더 포함하는 것이 바람직하다.
(H) 상기 이미지 프레임화된 화면 데이터를 더 이상 호출되지 않도록 차단하는 단계;를 더 포함하는 것이 바람직하다.
상기 이미지화된 사용자 확인 정보는 단일한 이미지 파일인 것이 바람직하다.
본 발명이 이루고자 하는 기술적 과제를 달성하기 위하여, 상기 어느 한 항이 방법을 사용하는 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템을 제시한다.
상기 인터넷 서비스 시스템은 은행, 보험, 증권 등과 같은 금융 관련시스템이거나, 공공 시스템이나 정부 시스템 중 어느 하나 이상인 것이 바람직하다.
본 발명이 이루고자 하는 기술적 과제를 달성하기 위하여, 인터넷 서비스의 시스템에 있어서, 사용자 단말기와 정보를 송수신하는 웹 서버; 웹 인젝션 방지 기능을 수행하는 웹 인젝션 방지 서버; 및 사용자 단말기에 기 설정된 인터넷 정보 서비스를 제공하는 인터넷 서비스 서버;를 포함하며, 상기 웹 인젝션 방지 서버는 이미지화 대상 정보 영역을 이미지화하는 UI 메타 렌더링 엔진; 및 상기 UI 메타 렌더링 엔진이 이미지화한 이미지 정보와 사용자 입력 영역을 결합하는 바인딩 모듈;을 포함하는 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템을 제시한다.
상기 UI 메타 렌더링 엔진은 상기 사용자 단말기로부터 입수된 사용자의 입력이 포함된 웹 페이지 정보를 사용하여 이미지화하는 것인 것이 바람직하다.
상기 웹 인젝션 방지 서버는 적어도 하나 이상의 화면 단위로 상기 화면에 필요한 필드 정보를 메타 정보로 저장하고 있는 것인 것이며, 상기 웹 인젝션 방지 서버는 요청 되는 화면을, 상기 메타 정보를 활용하여 생성하는 기능을 수행하는 것이 바람직하다.
상기 웹 인젝션 방지 서버는 상기 인터넷 서비스 시스템을 사용하는 사용자의 사용자 단말기로부터 적어도 하나 이상의 이미지를 입수하고, 상기 입수된 이미지를 상기 사용자가 요청하는 화면을 생성할 때, 입수한 상기 이미지를 상기 화면에 포함시키는 기능을 수행하는 것인 것이 바람직하다.
본 발명을 활용하면 다음과 같은 효과가 있다.
첫째, 웹 인젝션이 효과적으로 방지될 수 있다.
둘째. 웹을 통한 서비스가 보안성이 높아져 인터넷 서비스를 이용하는 사용자뿐만 아니라, 인터넷 서비스 제공자도 불측의 피해를 줄일 수 있다.
도 1은 정상적인 웹 페이지 부분을 보여 주는 도면이다.
도 2는 주민등록번호를 입력하는 필드가 추가되어 주민등록번호의 입력이 유도되는 변조된 웹 페이지 부분을 보여 주는 도면이다.
도 3은 본 발명의 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 일 실시예적 구성에 관한 도면이다.
도 4는 본 발명의 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 정보 처리 방법에 대한 일 실시예적 구성에 관한 도면이다.
도 5는 도 4의 방법이 실행된 결과물의 일례에 대한 도면이다.
도 6은 사용자 입력 결과를 확인하는 페이지를 대상으로 하는 본 발명의 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 정보 처리 방법에 대한 일 실시예적 구성에 관한 도면이다.
도 7은 도 6의 방법이 실행된 결과물의 일례에 대한 도면이다.
도 8은 본 발명의 이미지화 처리 프로세스에 대한 일 실시예적 구성에 관한 도면이다.
도 2는 주민등록번호를 입력하는 필드가 추가되어 주민등록번호의 입력이 유도되는 변조된 웹 페이지 부분을 보여 주는 도면이다.
도 3은 본 발명의 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 일 실시예적 구성에 관한 도면이다.
도 4는 본 발명의 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 정보 처리 방법에 대한 일 실시예적 구성에 관한 도면이다.
도 5는 도 4의 방법이 실행된 결과물의 일례에 대한 도면이다.
도 6은 사용자 입력 결과를 확인하는 페이지를 대상으로 하는 본 발명의 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 정보 처리 방법에 대한 일 실시예적 구성에 관한 도면이다.
도 7은 도 6의 방법이 실행된 결과물의 일례에 대한 도면이다.
도 8은 본 발명의 이미지화 처리 프로세스에 대한 일 실시예적 구성에 관한 도면이다.
이하, 도면을 참조하면서 더욱 더 상세하게 설명한다.
도 3은 본 발명의 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템(1000)의 일 실시예적 구성에 관한 도면이다. 본 발명의 인터넷 서비스 시스템(1000)은 상기 인터넷 서비스 시스템(1000)과 유무선 네트워크로 접속하는 사용자 단말기(2000)와 정보를 송수신하는 웹 서버(1100), 웹 인젝션 방지 기능을 수행하는 웹 인젝션 방지 서버(1200) 및 인터넷 서비스를 수행하는 인터넷 서비스 서버 (1300)를 포함하고 있다. 본 발명의 핵심이 되는 상기 웹 인젝션 방지 서버(1200)는 웹 페이지를 구성하는 정보 중 이미지화 대상 정보를 이미지화하는 UI Meta 렌더링 엔진(1210), UI 메타 데이터 DB(1220) 및 이미지화된 사용자 입력 영역과 사용자가 직접 입력어를 입력할 수 있는 입력 필드를 결합하여 사용자 단말기(2000)로 전송할 웹 페이지를 생성하는 바인딩 모듈(1230)을 포함하고 있다. 상기 UI 메타 데이터 DB(1220)는 화면 필드 정보 테이블(1221) 및 화면 필드 속성 테이블(1222)을 포함하고 있다. 상기 인터넷 서비스 서버(1300)는 인터넷 서비스 처리 모듈(1310), 레거시(Legacy) 인터페이스(1320) 및 업무 데이터 DB(1330)를 포함하고 있다. 상기 인터넷 서비스 서버(1300)는 은행, 보험, 증권 등과 같은 금융 서비스를 제공하거나, 공공 서비스 또는 정부 서비스를 제공하는 서버일 수 있을 것이다.
도 4는 본 발명의 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템(1000)의 정보 처리 방법에 대한 일 실시예적 구성에 관한 도면이다.
상기 인터넷 서비스 시스템(1000)은 사용자 단말기(2000)로부터 특정 웹 페이지에 대한 호출을 요청 받는다(S11). 상기 특정 웹 페이지에 대한 요청은 상기 인터넷 서비스 시스템(1000)을 구성하는 웹 서버가 수신할 수 있다. 상기 웹 서버는 상기 특정 웹 페이지에 대한 호출을 받는 경우, 이를 인터넷 서비스 서버(1300)에 전달하고, 상기 인터넷 서비스 서버(1300)는 상기 특정 웹 페이지를 생성하는데 필요한 정보를 추출한다. 상기 사용자가 요청하는 특정 웹 페이지에 대한 정보의 일례는 도 5에 나타나 있다. 상기 특정 웹 페이지에 대한 정보는 크게 2가지 계열이 있다. 하나는 사용자의 입력과 관련된 정보 영역이며, 다른 하나는 설명 정보 영역 등이나 기타 사용자의 입력과 관련이 없는 정보 영역이다. 사용자의 입력과 관련된 정보 영역은 다시 1) 사용자 입력 전체 영역(1410)과 2) 사용자가 직접 텍스트 또는 입력어를 입력(비밀 번호 입력 등)하거나 또는 입력어를 선택(계좌번호 선택 등)하는 입력 필드 영역(1420)으로 양분화할 수 있다. 도 5에서 예시되는 바와 같이 통상적으로 상기 입력 필드 영역은 사용자 입력 전체 영역 내에 존재한다.
도 5에서 보는 바와 같이 상기 이미지화된 사용자 입력 영역 내에는 사용자가 입력할 수 있는 적어도 하나 이상의 입력 빈칸이 포함되어 있다. 한편, 상기 이미지 프레임화된 화면 데이터는 상기 이미지화된 사용자 입력 영역을 배경에 깔고, 상기 배경 위에 입력 박스를 보여 주는 방식으로 처리될 수 있다.
한편, 상기 인터넷 서비스 시스템(1000)의 정보 처리 내용 중에서는 (G) 상기 사용자 단말기(2000)가 상기 인터넷 서비스 시스템(1000)으로부터 이미지를 받았는지 체크 가능하도록 처리하는 단계;를 더 포함할 수 있다. 상기 인터넷 서비스 시스템(1000)으로부터 이미지를 받았는지를 체그하는 방법은 html안에 <img src='aaaa.gif>'같은 식으로 이미지 태그가 있는데 여기에 값을 전달하는 방법으로 처리될 수 있다. 예를 들면, <img src='myapp?screen_id=이체입력' >와 같은 코드를 사용할 때, myapp라는 프로그램이 고객 브라우저에서 어떤 이미지를 받아갔는지file_id를 가지고 check가 가능하게 된다.
일반적으로 이미지를 호출하는 방법은 <img src=”myimage.jpg”> 와 같은 고정 이미지를 url상에서 호출하는 방식이지만, 이를 고정 이미지가 아닌 application을 호출하고 이 호출된 어플리케이션에게 어떤 이미지가 필요한지를 ? 기호 뒤에 key=value 형태로 전달한다. 즉, 위 예시는 myapp라는 이미지를 생성하여 내려 주는 application을 호출하면서 필요한 이미지가 “이체 입력” 화면이라는 것을 알려 줍니다. 이때 응용 application은 해당 이미지를 생성하여 내려 주게 된다.
그리고 상기 이미지 프레임화된 화면 데이터 또는 상기 이미지 프레임화된 화면 데이터에 포함된 이미지 데이터 또는 이미지화된 사용자 확인 정보 등은 한번 호출되면 더 이상 외부에서 호출할 수 없도록 차단하는 것이 바람직하다.
인터넷을 통한 송금 서비스를 예시로 할 경우, 사용자는 출금 계좌 번호의 입력이나 선택, 비밀 번호의 입력, 입금 은행의 입력이나 선택, 입금 계좌 번호의 입력이나 선택, 이체 금액의 입력이나 선택 등을 할 수 있으며, 이러한 행위가 일어나는 위치가 입력 필드 영역의 예가 될 수 있다.
도 5에서는 사용자 입력 전체 영역의 예시를 보여 준다. 입력 전체 영역은 테이블(table)의 형태가 아니라, 하나의(2 이상일 수도 있지만, 하나가 바람직하다.) 전체 이미지로 구성된다. 종래에는 이러한 입력 전체 영역은 테이블로 구성되어 있으며, 이러한 테이블로 구성되어 있는 html 정보는 웹 인젝션에 취약했다. 하지만, 인터넷 서비스 시스템(1000)이 상기 사용자 단말기(2000) 상에 표시되는 상기 입력 전체 영역이 하나의 이미지로 제공되는 경우, 웹 인젝션을 시도하는 자가 자신이 원하는 필드를 삽입하기가 어렵게 된다.
본 발명의 UI Meta 렌더링 엔진(1210)은 어떤 화면에서는 어떠어떠한 필드가 필요하다는 메타 정보만(이 정보는 개별적인 화면에 대응되어 UI 메타 데이터 DB(1220)에 저장되어 있다.)을 가지고 있다가 요청 시 해당 내용을 입력 또는 확인할 수 있는 화면을 다이내믹하게 생성하여 내려 주는 기능을 수행한다. 즉, 화면을 이미 디자인된 형태가 아니라, 메타 정보만을 가지고 있다가 요청 시에 만들어 준다. 한편, UI Meta 렌더링 엔진(1210)은 보안 강화를 위해 사용자가 본인의 이미지 (본인 사진 등)을 등록해 놓으면 화면을 그려 줄 때 본인의 이미지를 합성하여 모든 사용자가 같은 이미지가 아니라 고유의 이미지를 내려 줄 수 있는 기능도 수행한다. 이를 통하여 헤커의 “고정적인 이미지 복사” 시도를 다이나믹한 방식으로 한 단계 더 모방하기 힘들게 할 수 있다.
상기 웹 인젝션 방지 서버(1200)는 웹 페이지를 구성하는 정보 중 이미지화 대상 정보 영역을 이미지 프레임화된 화면 데이터로 구성(S12)한다. 상기 이미지 프레임화된 화면을 생성하는 방법은 크게 2가지가 있다.
하나는 상기 웹 인젝션 방지 서버(1200)의 상기 렌더링 엔진(이 상기 사용자 단말기(2000)가 요청한 특정 웹 페이지 중에서 상기 웹 페이지를 구성하는 정보 중 이미지화 대상 정보 영역을 다이내믹하게 또는 실시간으로 렌더링하여 상기 사용자 입력 전체 영역을 생성하고, 상기 바인딩 모듈(1230)이 상기 입력 필드 영역을 상기 사용자 입력 전체 영역과 바인딩하여 상기 이미지 프레임화된 화면 데이터를 생성하는 방법이다. 다른 방법은 상기 웹 인젝션 방지 서버(1200)가 사용자 입력과 관련되는 적어도 하나 이상의 페이지에서 사용될 적어도 하나 이상의 상기 사용자 입력 전체 영역(계좌 이체 서비스를 위한 사용자 입력 전체 영역, 계좌 조회 서비스를 위한 사용자 입력 전체 영역, 개인 정보 관리 서비스를 위한 사용자 입력 전체 영역 등과 같은 금융 서비스를 구성하는 개별 서비스 화면에 포함된 사용자의 입력이 필요한 영역이 이러한 사용자 입력 전체 영역의 예가 될 수 있다.)을 이미지 데이터화시켜 놓고 이를 상기 UI 메타 데이터 DB(1220)에 저장해 놓고, 특정한 사용자 입력 전체 영역이 필요할 시에 상기 이미지 데이터화 된 상기 특정한 사용자 입력 전체 영역을 호출하고, 호출된 특정 사용자 입력 전체 영역과 상기 호출된 특정 사용자 입력 전체 영역에 바인딩 될 사용자 입력 필드를 상기 바인딩 모듈(1230)이 바인딩하여 상기 이미지 프레임화된 화면 데이터를 생성하는 방법이다.
이어, 상기 인터넷 서비스 시스템(1000)은 상기 이미지 프레임화된 화면 데이터를 상기 사용자 단말기(2000)로 전송(S13)한다.
한편, 본 발명의 상기 웹 인젝션 방지 서버(1200)는 사용자 확인 페이지에 대해서도 웹 인젝션 방지를 위한 본 발명 사상을 실현한다. 이에 대해서는 도 6을 참조하면서 설명한다.
상기 인터넷 서비스 시스템(1000)은 상기 사용자 단말기(2000)로부터 사용자의 입력이 포함된 웹 페이지 정보를 입수 받는다(S21). 상기 입수 받은 웹 페이지 정보는 상기에서 설명한 상기 사용자 입력 전체 영역과 바인딩 되어 전송된 상기 입력 필드 영역에 상기 사용자가 입력한 정보가 포함되어 있다. 계좌 이체 서비스에서 상기 사용자가 입력한 정보에는 1) 출금 계좌 정보, 2) 비밀 번호, 3) 입금 계좌 정보, 4) 입금 금액, 4) 출금 통장 표시 내용, 6) 입금 통장 표시 내용 등이 예시적으로 있을 수 있다. 상기 웹 인젝션 방지 서버(1200)는 상기 사용자가 입력한 정보인 1) 내지 6) 중 필요한 정보 또는 관련 정보(예를 들면, 수수료 정보) 등과 같이 웹 인젝션 방지 처리할 이미지화 대상 정보를 이미지화 처리하여, 이미지화된 사용자 확인 정보(1430)를 생성한다. 이와 같이 상기 인터넷 서비스 시스템(1000)의 상기 웹 인젝션 방지 서버(1200)는 입수 받은 웹 페이지에 포함된 정보를 사용하여 이미지화된 사용자 확인 정보를 생성(S22)한다. 이어, 상기 인터넷 서비스 시스템(1000)의 상기 웹 서버는 이미지화된 사용자 확인 정보를 상기 사용자 단말기(2000)에 전송(S23)한다. 도 7은 상기 사용자 단말기(2000)에 전송된 이미지화된 사용자 확인 정보의 일례를 보여 준다.
도 8은 본 발명의 이미지화 처리 프로세스에 대한 일 실시예적 구성에 관한 도면이다. 도 8에서 알 수 있듯이, 본 발명의 이미지화 처리는 모두 표현 계층(presentation area)에서 일어날 수 있다.
본 발명은 인터넷 서비스 산업에 광범위하게 활용할 수 있으며, 특히 은행이나 기타 금융 서비스 산업에 활용될 수 있다.
1000 : 인터넷 서비스 시스템
1100 : 웹 서버
1200 : 웹 인젝션 방지 서버
1210 : UI Meta 렌더링 엔진
1220 : UI 메타 데이터 DB
1221 : 화면 필드 정보 테이블
1222 : 화면 필드 속성 테이블
1230 : 바인딩 모듈
1300 : 인터넷 서비스 서버
1310 : 인터넷 서비스 처리 모듈
1320 : 레거시 인터페이스
1330 : 업무 데이터 DB
2000 : 사용자 단말기
5000 : 유무선 네트워크
1100 : 웹 서버
1200 : 웹 인젝션 방지 서버
1210 : UI Meta 렌더링 엔진
1220 : UI 메타 데이터 DB
1221 : 화면 필드 정보 테이블
1222 : 화면 필드 속성 테이블
1230 : 바인딩 모듈
1300 : 인터넷 서비스 서버
1310 : 인터넷 서비스 처리 모듈
1320 : 레거시 인터페이스
1330 : 업무 데이터 DB
2000 : 사용자 단말기
5000 : 유무선 네트워크
Claims (15)
- 인터넷 서비스의 시스템의 정보 처리 방법에 있어서, 상기 인터넷 서비스의 시스템이
(A) 사용자 단말기로부터 특정 웹 페이지에 대한 호출을 요청받는 단계;
(B) 상기 웹 페이지를 구성하는 정보 중 이미지화 대상 정보를 이미지 프레임화된 화면 데이터로 구성하는 단계; 및
(C) 상기 이미지 프레임화된 화면 데이터를 상기 사용자 단말기로 전송하는 단계;를 포함하며,
상기 이미지 프레임화된 화면 데이터는 사용자 입력 전체 영역을 이미지화하고, 사용자가 입력어를 입력하는 입력 필드 영역은 입력 가능한 형태로 처리되는 것인 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 정보 처리 방법. - 제 1항에 있어서,
(D) 상기 사용자 단말기로부터 사용자의 입력이 포함된 웹 페이지 정보를 입수 받는 단계;
(E) 상기 입수 받은 웹 페이지에 포함된 정보를 사용하여 이미지화된 사용자 확인 정보를 생성하는 단계; 및
(F) 상기 이미지화된 사용자 확인 정보를 상기 사용자 단말기에 전송하는 단계;를 더 포함하는 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 정보 처리 방법. - 제 1항에 있어서,
상기 이미지화된 사용자 입력 영역 내에는 사용자가 입력할 수 있는 적어도 하나 이상의 입력 빈칸이 포함되어 있는 것인 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 정보 처리 방법. - 제 1항에 있어서,
상기이미지 프레임화된 화면 데이터는 상기 이미지화된 사용자 입력 영역을 배경에 깔고, 상기 배경 위에 입력 박스를 보여 주는 방식으로 처리되는 것인 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 정보 처리 방법. - 제 1항에 있어서,
(G) 상기 사용자 단말기가 상기 인터넷 서비스 시스템으로부터 이미지를 받았는지 체크 가능하도록 처리하는 단계;를 더 포함하는 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 정보 처리 방법. - 제 5항에 있어서,
(H) 상기 이미지 프레임화된 화면 데이터를 더 이상 호출되지 않도록 차단하는 단계;를 더 포함하는 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 정보 처리 방법. - 제 2항에 있어서,
상기 이미지화된 사용자 확인 정보는 단일한 이미지 파일인 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템의 정보 처리 방법. - 제 1항 내지 제 7항 중 어느 한 항이 방법을 사용하는 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템.
- 제 8항에 있어서,
상기 인터넷 서비스 시스템은 은행 시스템인 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템. - 인터넷 서비스의 시스템에 있어서,
사용자 단말기와 정보를 송수신하는 웹 서버;
웹 인젝션 방지 기능을 수행하는 웹 인젝션 방지 서버; 및
사용자 단말기에 기 설정된 인터넷 정보 서비스를 제공하는 인터넷 서비스 서버;를 포함하며,
상기 웹 인젝션 방지 서버는
이미지화 대상 정보 영역을 이미지화하는 UI 메타 렌더링 엔진; 및
상기 UI 메타 렌더링 엔진이 이미지화한 이미지 정보와 사용자 입력 영역을 결합하는 바인딩 모듈;을 포함하는 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템. - 제 10항에 있어서,
상기 UI 메타 렌더링 엔진은 상기 사용자 단말기로부터 입수된 사용자의 입력이 포함된 웹 페이지 정보를 사용하여 이미지화하는 것인 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템. - 제 10항에 있어서,
상기 인터넷 서비스 시스템은 금융 시스템 또는 공공 시스템 중 어느 하나인 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템. - 제 10항에 있어서,
상기 웹 인젝션 방지 서버는 적어도 하나 이상의 화면 단위로 상기 화면에 필요한 필드 정보를 메타 정보로 저장하고 있는 것인 것이며,
상기 웹 인젝션 방지 서버는 요청되는 화면을, 상기 메타 정보를 활용하여 생성하는 기능을 수행하는 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템. - 제 10항에 있어서,
상기 웹 인젝션 방지 서버는 상기 인터넷 서비스 시스템을 사용하는 사용자의 사용자 단말기로부터 적어도 하나 이상의 이미지를 입수하고, 상기 입수된 이미지를 상기 사용자가 요청하는 화면을 생성할 때, 입수한 상기 이미지를 상기 화면에 포함시키는 기능을 수행하는 것인 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템. - 제 1항에 있어서,
상기 인터넷 서비스 시스템은 금융 시스템 또는 공공 시스템 중 어느 하나인 것을 특징으로 하는 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120032290A KR20130110374A (ko) | 2012-03-29 | 2012-03-29 | 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템 및 그 시스템의 정보 처리 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120032290A KR20130110374A (ko) | 2012-03-29 | 2012-03-29 | 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템 및 그 시스템의 정보 처리 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20130110374A true KR20130110374A (ko) | 2013-10-10 |
Family
ID=49632198
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020120032290A KR20130110374A (ko) | 2012-03-29 | 2012-03-29 | 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템 및 그 시스템의 정보 처리 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20130110374A (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11062019B2 (en) | 2016-07-04 | 2021-07-13 | Traffic Guard Dg Ltd. | System and method for webpages scripts validation |
| US11165820B2 (en) | 2015-10-13 | 2021-11-02 | Check Point Software Technologies Ltd. | Web injection protection method and system |
-
2012
- 2012-03-29 KR KR1020120032290A patent/KR20130110374A/ko not_active Application Discontinuation
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11165820B2 (en) | 2015-10-13 | 2021-11-02 | Check Point Software Technologies Ltd. | Web injection protection method and system |
| US11062019B2 (en) | 2016-07-04 | 2021-07-13 | Traffic Guard Dg Ltd. | System and method for webpages scripts validation |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9900346B2 (en) | Identification of and countermeasures against forged websites | |
| Chander et al. | Data nationalism | |
| US8825799B2 (en) | Redirection method for electronic content | |
| US10264016B2 (en) | Methods, systems and application programmable interface for verifying the security level of universal resource identifiers embedded within a mobile application | |
| US9111090B2 (en) | Detection of phishing attempts | |
| Weber | The digital future–A challenge for privacy? | |
| US20190037406A1 (en) | Method, system and application programmable interface within a mobile device for indicating a confidence level of the integrity of sources of information | |
| US20160012213A1 (en) | Methods and systems for verifying the security level of web content that is embedded within a mobile application and the identity of web application owners field of the disclosure | |
| CN104023320A (zh) | 消息提示方法及装置 | |
| US20160125177A1 (en) | Information processing system, information processing apparatus, access control method, and program | |
| CN104933375A (zh) | 一种保护电子显示文档的方法及系统 | |
| JP2012243318A (ja) | タグを用いたインタラクションにおけるセキュリティを高める方法 | |
| US10958655B2 (en) | Systems, methods, and apparatuses for implementing data counter measures for online publishers with third party content | |
| JP2009026010A (ja) | コンテンツ配信装置、コンテンツ配信制御方法、および、コンテンツ配信制御プログラム | |
| CN114386059A (zh) | 网页文本混淆反爬虫方法、装置、电子设备及存储介质 | |
| KR101638398B1 (ko) | 이미지 분할 및 병합 방법 및 상기 방법을 실행하기 위한 프로그램을 기록한 컴퓨터 판독가능 기록매체 | |
| KR20200085085A (ko) | 블록체인 기반의 개방형 타임스탬프 발행 시스템 및 그 발행 방법 | |
| KR20130110374A (ko) | 웹 인젝션 방지 기능을 포함하는 인터넷 서비스 시스템 및 그 시스템의 정보 처리 방법 | |
| US20110173273A1 (en) | Method and system for inhibiting phishing | |
| CN103414688A (zh) | 一种用于在访问页面上加载用户安全图章的方法与设备 | |
| Georgiev et al. | Gone in six characters: Short urls considered harmful for cloud services | |
| Rastogi et al. | Implementation of digital watermarking technique to secure IPR of web application code | |
| Kaleli et al. | On the perils of leaking referrers in online collaboration services | |
| JP2010217937A (ja) | 不正取引防止システム及び不正取引防止方法 | |
| CN103810432A (zh) | 一种数据处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |