![그림 9. CVE-2017-5638 Apache Struts2 취약점 공격 데이터[3]](http://ocean.kisti.re.kr/downfile/bibText/kocon/CCTHCV/2022/v22n2/CCTHCV_2022_v22n2_71_f0008.png "그림 9. CVE-2017-5638 Apache Struts2 취약점 공격 데이터[3]")
선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
연합인증
연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.
이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.
연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.
한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.
다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)
연합인증 절차는 다음과 같습니다.
최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용
그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용
연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.
이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.
연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.
한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.
다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)
연합인증 절차는 다음과 같습니다.
최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용
그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용
연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.
다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
NTIS 바로가기
보안이 강화된 특수목적용 웹서버 설계 및 구축 제안
Proposal for Designing and Building a Special Purpose Web Server with Enhanced Security
원문보기
한국콘텐츠학회논문지 = The Journal of the Korea Contents Association, v.22 no.2, 2022년, pp.71 - 79
홍성락 (배재대학교 사이버보안학과) , 조인준 (배재대학교 사이버보안학과)
초록
현재 웹 서버의 보안을 위해 관제와 모의 해킹을 한다고 해도 계속해서 취약점이 발생하고 해킹을 당하는 것이 현실이다. 해당 문제를 해결하기 위해 L4와 L5 사이에서 소켓을 사용해 모든 웹 통신을 제어할 수 있는 보안 웹 서버를 개발했다. 그리고 HTTP 응답을 줄 때 매번 파일과 헤더를 합치는 행위를 미리 합쳐놓는 방식을 제안했다. 그 결과 보안과 속도를 둘 다 향상할 수 있었다. 따라서 본 논문에서는 관제와 모의 해킹을 해도 취약점이 발생하는 이유와 그것에 대한 해결방안과 더 나아가 DB까지 보안을 유지할 수 있는 보안 웹 서버개발 방식을 제안하였다.
Abstract
AI-Helper
Currently, even if control and mock hacking are performed for the security of web servers, vulnerabilities continue to occur and be hacked. To solve this problem, we have developed a secure web server that can control all web communication using sockets between L4 and L5. And when giving HTTP respon...
주제어
표/그림 (20)
표/그림 (20)
AI 본문요약
문제 정의
- 작은 크기의 웹 서버라면 가능하겠지만 중간 크기의 웹 서버부터는 그 수가 너무 많아 수작업으로 이를 할 수는 없다. 그래서 보안 웹 서버 개발을 도와주는 자동화 프로그램을 개발했다.
- 취지는 좋지만 모든 DB쿼리와데이터를 미리 프로그램에 넣어둘 수는 없다. 따라서 본 논문에서는 기존 No-SQL과 SQL에서 사용하는 방식이 아닌, 내부에서 사용하는 특정키를 이용하는 방식과 패스워드의 해시값을 질의하는 방식 두 가지를 제안했다. 물론 이 부분은 각 웹 서버의 DB 구조에 따라 많이 변경될 수 있다.
- 하지만 이대로 DB 서버를 운영하면, SQL인 경우 SQL-Injection, No-SQL인 경우 새로운 취약점이 발생할 수 있다. 따라서 본 논문에서는 웹서버를 2중으로 보안을 유지했듯이 DB 서버도 2중으로 보안을 유지하는 방식을 제안하였다. 취지는 좋지만 모든 DB쿼리와데이터를 미리 프로그램에 넣어둘 수는 없다.
- 본 논문에서는 이에 대한 새로운 해결책으로 소켓을 사용해서 웹 서버 개발하는 방안을 제안하였다. 소켓은 L4와 L5를 이어주는 함수이다.
- 동적 분석을 통해 Apache와 PHP 서버에서는 응답 헤더를 요청 시마다 파일과 응답 헤더를 붙여서나가는 것을 확인했다. 본 논문에서는 해당 모든 파일 앞에 헤더를 미리 붙이는 방식을 개발했다. 따라서 웹서버가 요청 값을 처리하고 응답을 보낼 때 기존 웹 서버들은 그때서야 헤더를 붙이지만, 본 논문에서의 방식은 미리 응답 헤더가 붙어있기 때문에 요청한 파일을 바로 응답하면 된다.
참고문헌 (8)
-
https://httpd.apache.org
-
https://www.php.net
-
https:/www.cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2017-5638
-
https:/www.cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2015-4870
-
https://www.mysql.com
-
권희웅, 정형진, 곽후근, 김영종, 정규식, "멀티코어 시스템에서 흐름 수준 병렬처리에 기반한 리눅스 TCP/IP 스택의 성능 개선," 정보처리학회논문지, Vol.16, No.2, pp.113-124, 2009.
-
김지훈, 최주호, "윈도우즈 소켓 기반 분산처리 기술을 이용한 항공기 엔진마운트의 최적설계," 論文集, Vol.38, pp.29-38. 2000.
저자의 다른 논문 :
관련 콘텐츠
원문 보기
원문 URL 링크
- DOI : 10.5392/JKCA.2022.22.02.071 [무료]
- 한국콘텐츠학회 : 저널
- DBPia : 저널
*원문 PDF 파일 및 링크정보가 존재하지 않을 경우 KISTI DDS 시스템에서 제공하는 원문복사서비스를 사용할 수 있습니다.
연관된 기능
이 논문과 함께 이용한 콘텐츠
- [본원] 대전광역시 유성구 대학로 245 한국과학기술정보연구원
- [분원] 서울시 동대문구 회기로 66 한국과학기술정보연구원
- 문의처: helpdesk@kisti.re.kr
- 전화: 080-969-4114
Copyright KISTI. All Rights Reserved.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.