웹 어플리케이션은 정보 검색 및 획득을 위한 수단으로서의 접근 용이성과 인터넷 쇼핑 및 인터넷 뱅킹을 비롯한 금전적 거래 서비스의 확산으로 대중적으로 사용되고 있다. 이와 함께 웹 어플리케이션에 대한 복잡도 높은 공격이 이루어지고 있을 뿐만 아니라 공격의 횟수도 증가하고 있다. 이러한 웹 어플리케이션에 대한 공격 및 위협 중에서도, SQL ...
웹 어플리케이션은 정보 검색 및 획득을 위한 수단으로서의 접근 용이성과 인터넷 쇼핑 및 인터넷 뱅킹을 비롯한 금전적 거래 서비스의 확산으로 대중적으로 사용되고 있다. 이와 함께 웹 어플리케이션에 대한 복잡도 높은 공격이 이루어지고 있을 뿐만 아니라 공격의 횟수도 증가하고 있다. 이러한 웹 어플리케이션에 대한 공격 및 위협 중에서도, SQL인젝션 공격은 가장 보편적인 공격으로 알려졌으며 이에 대한 다양한 연구가 이루어졌다. SQL 인젝션을 사용하는 공격자들은 유해한 코드나 질의을 웹 어플리케이션에 주입하여 기밀 정보를 유출시키거나 데이터베이스를 파괴한다. 본 논문에서는 정적 및 동적 분석 기술을 조합하여SQL 인젝션 공격을 효과적이고 간단하게 탐지 및 예방하는 기술을 제안한다. 제안한 기술은 정적 질의문과 동적 질의문을 부분문자열로 분할하여 부분문자열의 개수를 비교한다. 분할 기술이 효과가 없는 질의문에 대해서는, 질의문의 속성값을 분석하여 속성값의 개수를 비교한다. 본 기술은 파스 트리 알고리즘, DBMS프록시, 라이브러리와 같은 복잡한 알고리즘 및 동작을 수반하지 않으므로 효과적이고 간단하다. 본 기술이 탐지 오류를 줄이면서도 SQL 인젝션 공격을 탐지 및 예방할 수 있을 뿐만 아니라, SQL 질의문이 백엔드 데이터베이스 계층에 전달되기 전에 작동할 수 있음을 결과 분석 및 평가에서 보인다.
웹 어플리케이션은 정보 검색 및 획득을 위한 수단으로서의 접근 용이성과 인터넷 쇼핑 및 인터넷 뱅킹을 비롯한 금전적 거래 서비스의 확산으로 대중적으로 사용되고 있다. 이와 함께 웹 어플리케이션에 대한 복잡도 높은 공격이 이루어지고 있을 뿐만 아니라 공격의 횟수도 증가하고 있다. 이러한 웹 어플리케이션에 대한 공격 및 위협 중에서도, SQL 인젝션 공격은 가장 보편적인 공격으로 알려졌으며 이에 대한 다양한 연구가 이루어졌다. SQL 인젝션을 사용하는 공격자들은 유해한 코드나 질의을 웹 어플리케이션에 주입하여 기밀 정보를 유출시키거나 데이터베이스를 파괴한다. 본 논문에서는 정적 및 동적 분석 기술을 조합하여SQL 인젝션 공격을 효과적이고 간단하게 탐지 및 예방하는 기술을 제안한다. 제안한 기술은 정적 질의문과 동적 질의문을 부분문자열로 분할하여 부분문자열의 개수를 비교한다. 분할 기술이 효과가 없는 질의문에 대해서는, 질의문의 속성값을 분석하여 속성값의 개수를 비교한다. 본 기술은 파스 트리 알고리즘, DBMS 프록시, 라이브러리와 같은 복잡한 알고리즘 및 동작을 수반하지 않으므로 효과적이고 간단하다. 본 기술이 탐지 오류를 줄이면서도 SQL 인젝션 공격을 탐지 및 예방할 수 있을 뿐만 아니라, SQL 질의문이 백엔드 데이터베이스 계층에 전달되기 전에 작동할 수 있음을 결과 분석 및 평가에서 보인다.
Their nature of ubiquity and adoption of the web as a means of retrieving information and making other financial transactions like e-shopping and e-banking have made the use of web application services most popular. As the use of web application grows, also the number and sophistication of attacks i...
Their nature of ubiquity and adoption of the web as a means of retrieving information and making other financial transactions like e-shopping and e-banking have made the use of web application services most popular. As the use of web application grows, also the number and sophistication of attacks increase. Amongst threats to web applications, SQL Injection attacks have been researched and reported as being top major threats. Attackers inject malicious code or queries to the web application that makes them extract confidential information or sometimes to destruct the database system. In this thesis, a both combined static and dynamic analysis effective and simple technique is proposed to detect and prevent SQL injection attacks by splitting both static and dynamic queries into substrings and compare the number of substrings in both queries. Also in queries where splitting techniques do not work, the attribute values in both fixed and runtime query counted and analyzed then the number of attribute values are compared. A technique is simple and effective in a way that it does not employ complex algorithms and operations like parse tree algorithms, DBMS proxy, and libraries. The evaluation results for the proposed technique shows success in detecting and preventing SQL injection attacks and reduces the false positives and false negatives. And this takes place before a SQL query is sent to the back-end database layer.
Their nature of ubiquity and adoption of the web as a means of retrieving information and making other financial transactions like e-shopping and e-banking have made the use of web application services most popular. As the use of web application grows, also the number and sophistication of attacks increase. Amongst threats to web applications, SQL Injection attacks have been researched and reported as being top major threats. Attackers inject malicious code or queries to the web application that makes them extract confidential information or sometimes to destruct the database system. In this thesis, a both combined static and dynamic analysis effective and simple technique is proposed to detect and prevent SQL injection attacks by splitting both static and dynamic queries into substrings and compare the number of substrings in both queries. Also in queries where splitting techniques do not work, the attribute values in both fixed and runtime query counted and analyzed then the number of attribute values are compared. A technique is simple and effective in a way that it does not employ complex algorithms and operations like parse tree algorithms, DBMS proxy, and libraries. The evaluation results for the proposed technique shows success in detecting and preventing SQL injection attacks and reduces the false positives and false negatives. And this takes place before a SQL query is sent to the back-end database layer.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.