다중 계층 웹 필터를 사용하는 웹 애플리케이션 방화벽의 설계 및 구현

장성민(Sung-Min Jang),원유헌(Yoo-Hun Won) 한국컴퓨터정보학회 2009 韓國컴퓨터情報學會論文誌 Vol.14 No.12

최근 인터넷 상에서 빈번하게 발생하는 내부 정보와 개인 정보 유출과 같은 보안 사고들은 보안을 고려하지 않고 개발된 웹 애플리케이션의 취약점을 이용하는 방법으로 빈번하게 발생한다. 웹 애플리케이션의 공격들에 대한 탐지는 기존의 방화벽과 침입 탐지 시스템들의 공격 탐지 방법으로는 탐지가 불가능하며 서명기반의 침입 탐지 방법으로는 새로운 위협과 공격에 대한 탐지에 한계가 있다. 따라서 웹 애플리케이션 공격 탐지 방법에 대한 많은 연구들이 웹 트래픽 분석을 이동하는 비정상행위 기반 탐지 방법을 이용하고 있다. 비정상행위 탐지 방법을 사용하는 최근의 웹 방화벽에 관한 연구들은 웹 트래픽의 정확한 분석 방법, 패킷의 애플리케이션 페이로드 검사로 인한 성능 문제 개선, 그리고 다양한 네트워크 보안장비들의 도입으로 발생하는 통합관리 방법과 비용 문제 해결에 중점을 두고 있다. 이를 해결하기 위한 방법으로 통합 위협 관리 시스템이 등장 하였으나 부족한 웹 보안 기능과 높은 도입 비용으로 최근의 애플리케이션 공격들에 대해 정확한 대응을 하지 못하고 있는 현실이다. 본 연구에서는 이러한 문제점들을 해결하기 위해 웹 클라이언트의 요청에 포함된 파라미터 값의 길이에 대한 실시간 분석을 이용하여 공격 가능성을 탐지하는 비정상행위 탐지방법을 제안하고, 애플리케이션 데이터 검사로 발생하는 성능 저하 문제를 해결할 수 있는 다중 계층 웹 필터를 적용한 웹 애플리케이션 방화벽 시스템을 설계하고 구현하였다. 제안된 시스템은 저가의 시스템이나 레거시 시스템에 적용 가능하도록 설계하여 추가적인 보안장비 도입으로 야기되는 비용 문제를 해결할 수 있도록 하였다. Recently, the leakage of confidential information and personal information is taking place on the Internet more frequently than ever before. Most of such online security incidents are caused by attacks on vulnerabilities in web applications developed carelessly. It is impossible to detect an attack on a web application with existing firewalls and intrusion detection systems. Besides, the signature-based detection has a limited capability in detecting new threats. Therefore, many researches concerning the method to detect attacks on web applications are employing anomaly-based detection methods that use the web traffic analysis. Much research about anomaly-based detection through the normal web traffic analysis focus on three problems - the method to accurately analyze given web traffic, system performance needed for inspecting application payload of the packet required to detect attack on application layer and the maintenance and costs of lots of network security devices newly installed. The UTM(Unified Threat Management) system, a suggested solution for the problem, had a goal of resolving all of security problems at a time, but is not being widely used due to its low efficiency and high costs. Besides, the web filter that performs one of the functions of the UTM system, can not adequately detect a variety of recent sophisticated attacks on web applications. In order to resolve such problems, studies are being carried out on the web application firewall to introduce a new network security system. As such studies focus on speeding up packet processing by depending on high-priced hardware, the costs to deploy a web application firewall are rising. In addition, the current anomaly-based detection technologies that do not take into account the characteristics of the web application is causing lots of false positives and false negatives. In order to reduce false positives and false negatives, this study suggested a realtime anomaly detection method based on the analysis of the length of parameter value contained in the web client's request. In addition, it designed and suggested a WAF(Web Application Firewall) that can be applied to a low-priced system or legacy system to process application data without the help of an exclusive hardware. Furthermore, it suggested a method to resolve sluggish performance attributed to copying packets into application area for application data processing, Consequently, this study provide to deploy an effective web application firewall at a low cost at the moment when the deployment of an additional security system was considered burdened due to lots of network security systems currently used.

프레임워크기반 웹 어플리케이션을 위한 BizUnit 테스트 코드 생성

이은영(Eunyoung Lee),최병주(Byoungju Choi),송화정(Hwajung Song),황상철(SangCheol Hwang) 한국정보과학회 2009 정보과학회 컴퓨팅의 실제 논문지 Vol.15 No.12

웹 어플리케이션의 활용과 그 시장이 압도적으로 성장하면서 그 기능이 확대 심화되고 있다. 오늘날 나날이 높아지는 소프트웨어의 고품질 요구와 맞물려 웹 어플리케이션의 테스트에 대한 관심도 급증하고 있다. 웹 어플리케이션은 개발환경적인 면에서 프레임워크 기반으로 개발되고 있는 추세로 그 프레임워크의 영역이 확장될수록 전체 웹 어플리케이션의 각 모듈은 이질적인 파일들의 조합으로 구성되고 있다. 반제품의 형태로 제공되는 프레임워크가 전체 개발 대상의 구조를 제어한다는 점에서 웹 어플리케이션만의 특성을 갖게 된다. 본 논문에서는 웹 어플리케이션의 실행 단위로써 의미를 가지는 최소 단위로 웹비즈니스 로직을 정의하고, 이에 대한 BizUnit 테스트 코드를 자동생성하는 방안을 제안하며, BizUnit을 통해 효과적으로 웹 어플리케이션을 테스트하는 것을 분석한다. With greater utilization of web application and growth of its market, the function of such application is being expanded With today’s increasing demand for high quality software, we see a sharp rise in the interest for web application test. The current trend is that web applications are being developed based on a framework of developmental environment. Hence, as the scope of that framework expands, each module of the entire web application is being configured by the combination of heterogeneous files. The distinctive characteristics of a web application are based on the fact that the framework that is provided in partially completed form controls the structure of all objects of development. The present study defines the web business logic as a minimal unit which has meaning as a unit of application for the web application. In this paper, we define web business logic as a least meaningful execution unit of web applications, propose how to generate automatically the BizUnit test code for it, and analyze the effectiveness of testing of the web application via the BizUnit test codes.

개방형 웹 애플리케이션 스토어 연동을 위한 프로토콜의 설계 및 구현

백지훈 ( Ji Hun Baek ),김지훈 ( Ji Hun Kim ),남용우 ( Yong Woo Nam ),이형욱 ( Hyung Uk Lee ),박상원 ( Sang Won Park ),전종홍 ( Jong Hong Jeon ),이승윤 ( Seung Yoon Lee ) 한국정보처리학회 2013 정보처리학회논문지. 소프트웨어 및 데이터 공학 Vol.2 No.10

최근 휴대용 기기들이 대중화되어 한 사람이 하나 이상의 휴대용 기기를 소지하고 있고 스마트폰 활용도 또한 늘어나는 추세이다. 스마트폰이 많이 보급됨에 따라 폭발적으로 스마트폰의 애플리케이션 활용이 늘어나고 있다. 현재의 애플리케이션 스토어는 플랫폼별로 애플리케이션을 개발해줘야 하는 종속적인 면이 있다. 앱스토어는 크게 애플의 앱스토어와 구글의 안드로이드 마켓으로 양분되어 있고 각 플랫폼에 맞춰 애플리케이션이 개발되어야 한다. 각각의 플랫폼에 맞춰서 애플리케이션을 개발하면 개발 비용은 2배에 근접하고 다른 소규모 플랫폼(Ex 바다)들은 애플리케이션 개발자들을 모아야만 자신들의 플랫폼에 맞는 애플리케이션이 나오는 단점이 있다. 이러한 플랫폼에 맞춰서 개발된 네이티브 애플리케이션의 범용성에 대한 해결책과 모바일에서의 다양한 요구사항을 수용하기 위해 웹 애플리케이션이 각광받고 있다. 웹 애플리케이션은 플랫폼에 종속되지 않고 어느 휴대용 기기에서도 동작하기 때문에 각 플랫폼별로 개발하지 않아도 된다는 장점이 있다. 따라서 웹 애플리케이션 스토어끼리의 연동 프로토콜을 통해 애플리케이션을 연동하여 어느 웹 애플리케이션 스토어에서도 볼 수 있고 특정 플랫폼에 구애 받지 않는 거대한 시장이 생겨날 수 있다. 하지만 아직 웹 애플리케이션 스토어라는 표준이 없고 존재하는 웹 애플리케이션 스토어가 없다. 이를 위해 본 논문에서는 연동에 관한 프로토콜을 제안하고 구현을 통해 기존의 애플리케이션 스토어의 단점을 보완할 수 있는 방법을 제시한다. Recently, because the portable devices became popular, it is easily to see that each person carries more than just one portable device and the use of the smartphone stretches as time goes by. After the smartphone has propagated rapidly, the total usage of the smartphone applications has also increased. But still, each application store has a different platform to develop and to apply an application. The application store is divided into two big markets, the Android and the Apple. So the developers have to develop their application by using these two different platforms. Developing into two different platforms almost makes a double development cost. And for the other platforms, the weakness is, which still have a small market breadth like Bada is not about the cost, but about drawing the proper developers for the given platform application development. The web application is rising up as the solution to solve these problems, reducing the cost and time in developing applications for every platform. For web applications don`t need to make a vassal relationship with application markets platform. Which makes it possible for an application to operate properly in every portable devices and reduces the time and cost in developing. Therefore, all of the application markets could be united into one big market through a protocol which will connect each web applications market. But, still there is no standard for the web application store and no current web application store is possible to interlock with other web application stores. In this paper, we are trying to suggest a protocol by developing a prototype and prove that this protocol can supplement the current weakness.

Mashup Application for Geo-spatial Feature Generation on Web Browser using Google Maps API

Park, Yong-Jae,Lee, Ki-Won The Korean Society of Remote Sensing 2008 大韓遠隔探査學會誌 Vol.24 No.5

In these days, various kinds of web applications based on web 2.0 paradigm have been developed. In web 2.0 paradigm pursuing participation, sharing, and openness on the web-as-platform, web mapping or web GIS application are regarded as top most applications, so that web applications, handling geo-spatial contents, with user-interaction interface and search engine of high performance have been provided for both public users and expert users in the special domains. Public and industrial needs for web mapping mashup application by open API, linked with the practical web computing technologies, are gradually increasing. In this study, a user interface in mashup for geo-spatial feature generation was implemented by using mainly Google maps API. Spatial database resources in this implementation are those of Google mapping server. As the results, public users on web client can create their own geo-spatial data sets in web vector formats, without the help of any GIS tools or access to proprietary databases. It is concluded that web-based mashup application in client-side using open API can be used as an alternative for geo-browsing system or portable feature generation system.

Mashup Application for Geo-spatial Feature Generation on Web Browser using Google Maps API

Yong Jae Park,Ki Won Lee 大韓遠隔探査學會 2008 大韓遠隔探査學會誌 Vol.24 No.5

In these days, various kinds of web applications based on web 2.0 paradigm have been developed. In web 2.0 paradigm pursuing participation, sharing, and openness on the web-as-platform, web mapping or web GIS application are regarded as top most applications, so that web applications, handling geo-spatial contents, with user-interaction interface and search engine of high performance have been provided for both public users and expert users in the special domains. Public and industrial needs for web mapping mashup application by open API, linked with the practical web computing technologies, are gradually increasing. In this study, a user interface in mashup for geo-spatial feature generation was implemented by using mainly Google maps API. Spatial database resources in this implementation are those of Google mapping server. As the results, public users on web client can create their own geo-spatial data sets in web vector formats, without the help of any GIS tools or access to proprietary databases. It is concluded that web-based mashup application in client-side using open API can be used as an alternative for geo-browsing system or portable feature generation system.

Context-based Web Application Design

Jinsoo Park(Jinsoo Park) 한국전자거래학회 2007 한국전자거래학회지 Vol.12 No.2

웹 기능의 향상과 웹 관련 기술의 발전, 레거시 시스템과의 통합 필요성 증대, 자주 변하는 웹 콘텐츠와 구조 등으로 인하여 웹 애플리케이션을 개발하고 관리하는 일이 과거보다 훨씬 더 복잡하게 되었다. 그러나 이러한 다양한 요인들을 고려하는 포괄적인 웹 애플리케이션 설계 방법론은 아직 존재하지 않고 있다. 따라서 본 연구에서는 이러한 요인들을 고려한 컨텍스트 기반의 웹 애플리케이션 설계 방법론을 제시하고자 한다. 본 연구에서 제시하는 방법론에서는 웹 정보를 전달하는 메커니즘에 따라 구분되는 9 종류의 웹 페이지 형태와 웹 페이지 간의 다양한 의미 관계를 정의하는 7 종류의 링크 형태 및 설계 과정 중에 사용되는 여러 종류의 컴포넌트 역할을 구별하는 소프트웨어 컴포넌트 형태 등 다양한 종류의 모델링 기법들을 소개하고 있다. 뿐만 아니라 이 방법론은 ‘콤펜디엄(compendium)’이라 불리는 일단의 관련된 정보 클러스터들로 이루어진 독창적인 웹 애플리케이션 모델을 사용하고 있다. 하나의 콤펜디엄은 주제(theme), 컨텍스트 페이지, 링크 및 컴포넌트로 구성된다. 이러한 접근방법은 모듈 방식의 설계에 유용할 뿐만 아니라 항상 변하는 웹 애플리케이션의 콘텐츠와 구조를 관리하는데도 도움이 된다. 본 연구에서 제시한 방법론은 의미적으로 응집력이 있고 구문적으로 느슨히 결합된 유연한 웹 디자인 산출물을 생성하는데 도움이 될 것이다. Developing and managing Web applications are more complex than ever because of their growing functionalities, advancing Web technologies, increasing demands for integration with legacy applications, and changing content and structure. All these factors call for a more inclusive and comprehensive Web application design method. In response, we propose a context-based Web application design methodology that is based on several classification schemes including a Webpage classification, which is useful for identifying the information delivery mechanism and its relevant Web technology; a link classification, which reflects the semantics of various associations between pages; and a software component classification, which is helpful for pinpointing the roles of various components in the course of design. The proposed methodology also incorporates a unique Web application model comprised of a set of information clusters called compendia, each of which consists of a theme, its contextual pages, links, and components. This view is useful for modular design as well as for management of ever-changing content and structure of a Web application. The proposed methodology brings together all the three classification schemes and the Web application model to arrive at a set of both semantically cohesive and syntactically loose-coupled design artifacts.

Security of Web Applications: Threats, Vulnerabilities, and Protection Methods

Mohammed, Asma,Alkhathami, Jamilah,Alsuwat, Hatim,Alsuwat, Emad International Journal of Computer ScienceNetwork S 2021 International journal of computer science and netw Vol.21 No.8

This is the world of computer science and innovations. In this modern era, every day new apps, webs and software are being introduced. As well as new apps and software are being introduced, similarly threats and vulnerable security matters are also increasing. Web apps are software that can be used by customers for numerous useful tasks, and because of the developer experience of good programming standards, web applications that can be used by an attacker also have multiple sides. Web applications Security is expected to protect the content of critical web and to ensure secure data transmission. Application safety must therefore be enforced across all infrastructure, including the web application itself, that supports the web applications. Many organizations currently have a type of web application protection scheme or attempt to build/develop, but the bulk of these schemes are incapable of generating value consistently and effectively, and therefore do not improve developers' attitude in building/designing stable Web applications. This article aims to analyze the attacks on the website and address security scanners of web applications to help us resolve web application security challenges.

Mashup Application for Geo-spatial Feature Generation on Web Browser using Google Maps API

박영재,이기원 대한원격탐사학회 2008 大韓遠隔探査學會誌 Vol.24 No.5

In these days, various kinds of web applications based on web 2.0 paradigm have beendeveloped. In web 2.0 paradigm pursuing participation, sharing, and openness on the web-as-platform,web mapping or web GIS application are regarded as top most applications, so that web applications,handling geo-spatial contents, with user-interaction interface and search engine of high performance havebeen provided for both public users and expert users in the special domains. Public and industrial needs forweb mapping mashup application by open API, linked with the practical web computing technologies, aregradually increasing. In this study, a user interface in mashup for geo-spatial feature generation wasimplemented by using mainly Google maps API. Spatial database resources in this implementation arethose of Google mapping server. As the results, public users on web client can create their own geo-spatialdata sets in web vector formats, without the help of any GIS tools or access to proprietary databases. It isconcluded that web-based mashup application in client-side using open API can be used as an alternative forgeo-browsing system or portable feature generation system.

웹2.0 기반 웹사이트의 디자인 특성에 관한 연구

장영범(Young Bum Jang) 한국디자인문화학회 2008 한국디자인문화학회지 Vol.14 No.4

The Web 2.0 means a change in web environment, not a new skill. As the web develops, information system and software application environment will be totally changed. With this change requires a new design plan in the internet environment. UCC and SNS have been based on Web 2.0 with the characteristics of `openness`, `voluntary participating` and `sharing information`. RIA is a combined technology of existing web GUI application with HTML and wide web-based accessibility, which plays a key application role in Web 2.0. This study analysis is based on the visual part of web interface as and instrument for information delivery to improve information access for users in the web 2.0 environment. Also the purposes of this study reflects the features of Web 2.0 Design and analysis of RIA based website and the famous UCC, SNS websites of the world. This study derives Web Usability, Universal Design, Experience Design, Information Architecture, Web Navigation, Virtual Reality Design, Digital Storytelling, Customization Design as features of Web2.0 Design. It is considered an effective web design that satisfies the users in the web 2.0 environment focused on RIA technology, UCC and SNS business service, and presents a web design that contains the fundamental notions of the web 2.0.

스마트폰상에서의 웹 응용프로그램 개발 효율성 분석

이고은,이종우 한국디지털콘텐츠학회 2010 한국디지털콘텐츠학회논문지 Vol.11 No.3

Due to the widespread smartphones and application stores, mobile application developments are now booming again in the same manner of PC history. The smartphone software development process, however, gives much inconvenience to developers because of the heterogeneous platform APIs and hardware incompatibility between different devices. To make clear these problems, mobile web applications are being accepted as an alternative to the native smartphone applications. Mobile web applications can be developed more simply and easily than native applications by using webkit engine's html, Java script, and CSS. Additionally developers can provide a platform-independent applications since web applications are going to run on web browsers. In this paper, we develop a personal applications store running on an android phone's browsers. We can accomplish this very simply by using webkit's various APIs such as OpenID. We can find out by implementing a real web application that development of web applications can surpass the native one in cost and time period without much loss of performance. 스마트폰과 앱스토어 열풍은 응용프로그램 개발을 과거 PC응용에 이어 다시 한 번 활성화시키고 있다. 하지만 현재 스마트폰 응용프로그램 개발 시에는 다양한 플랫폼 환경 설정 고려와 이종 기기의 호환성 문제점 등의 한계가 있어 자연스럽게 모바일 웹 응용프로그램 개발이 대안으로 부각되고 있다. 모바일 웹 응용프로그램 형태의 하나인 하이브리드용 웹 응용프로그램은 스마트폰에 내장된 웹킷 엔진을 이용하기 때문에 간단하게 개발될 수 있다는 장점이 있다. 스마트폰의 웹킷 탑재로 웹 응용프로그램 개발자는 HTML과 자바스크립트, CSS만으로도 쉽고 빠르게 개발할 수 있을 뿐만 아니라 다양한 모바일 기기에 독립적인 서비스를 제공할 수 있다. 본 논문에서는 기존에 복잡하게 개발했던 네이티브 응용프로그램 대신 웹킷을 이용하여 단순하고 간결하게 개인이 운영할 수 있는 앱스토어를 안드로이드 환경에서 구현하였다. 기존 네이티브 응용프로그램에서는 복잡하게 구현했던 회원 등록 및 로그인 환경을 OpenID를 이용하여 간결하게 할 수 있었다. 이를 통해 스마트폰용 네이티브 응용이 아닌 웹 응용으로도 성능이 뒤지지 않으면서 쉽게 응용을 개발할 수 있음을 확인하였다. 아울러 웹 응용프로그램 개발 시 장점을 네이티브 응용 개발과 비교함으로써 그 효율성을 보였다.