ActiveX Control 취약점 검사 및 검증 기법 연구

김수용(Su Yong Kim),손기욱(Kiwook Sohn) 한국정보보호학회 2005 정보보호학회논문지 Vol.15 No.6

최근 웹 사이트들은 HTML과 스크립트 언어의 한계를 뛰어넘어 사용자에게 다양한 서비스를 제공하기 위해 많은 ActiveX Control들을 배포하고 있다. 하지만, ActiveX Control은 웹 페이지나 이메일을 통해 실행될 수 있기 때문에 안전하지 못한 ActiveX Control은 개인 PC 보안에 치명적인 약점이 될 수 있다. 그럼에도 불구하고 대부분의 ActiveX Control들은 안전성에 대한 검증 없이 사용자들에게 배포되고 있어 많은 개인 PC들이 외부의 침입에 노출되고 있다. ActiveX Control의 취약점을 줄이기 위해서는 제 3자에 의한 취약점 검사와 검증이 필요하다. 본 고에서는 점검대상 식별부터 Reverse Engineering까지 ActiveX Control 의 취약점 검사를 수행하기 위한 절차와 관련 기술들에 대해 기술한다. 또한 ActiveX Control의 경우 일반 응용프로그램과 다를 뿐만 아니라 국내 환경과 국외환경의 차이로 인해 기존의 취약점 검증 기법들을 그대로 적용할 수 없다. 본 고에서는 ActiveX Control의 취약점 검증을 위해 필요한 요소기술들에 대해 기술한다. To provide visitors with the various services, Many web sites distribute many ActiveX controls to them because ActiveX controls can overcome limits of HTML documents and script languages. However, PC can become dangerous if it has unsecure ActiveX controls, because they can be executed in HTML documents. Nevertheless, many web sites provide visitors with ActiveX controls whose security are not verified. Therefore, the verification is needed by third party to remove vulnerabilities in ActiveX controls. In this paper, we introduce the process and the technique to find vulnerabilities. The existing proof codes are not valid because ActiveX controls are different from normal application and domestic environments are different from foreign environments. In this paper, we introduce the technique to prove vulnerabilities in ActiveX control.

제어 및 모니터링 시스템 구현을 위한 ActiveX 기반의 애플리케이션 설계

송민규(Song Min-Gyu) 한국산학기술학회 2006 한국산학기술학회논문지 Vol.7 No.6

ActiveX는 컴포넌트 간 통신을 위하여 마이크로소프트사가 개발한 기술로서 COM 기반의 분산 애플리케이션 모델이 발전된 형태에 해당한다[1]. ActiveX는 애플리케이션 개발 과정에서 코드의 재사용 및 객체 링크를 지원하므로 개발자는 이를 통해 여러 객체를 하나의 애플리케이션으로 통합시키는 것이 가능하고 시스템 개발에 있어서 효율성을 얻을 수 있다. 뿐만 아니라 분산된 애플리케이션의 기능을 하나의 애플리케이션에서 구현할 수 있기 때문에 사용자 위주의 프로그램을 손쉽게 작성할 수 있다[2]. 그동안 Visual C++, Visual Basic 개발 환경에서 통신 애플리케이션을 개발하기 위한 도구로 사용되던 ActiveX는 프로그램 개발의 효율성으로 인하여 제어 및 계측 분야에서도 현 재 널리 활용되고 있다. 본 논문에서는 이러한 ActiveX 기술을 활용하여 원격에서 시스템 제어 및 모니터링 기능을 수행하는 애플리케이션을 구현하고자 한다. 이를 위하여 웹 브라우져와 미디어 플레이어를 ActiveX 컨트롤의 형태로 구현하여 제어와 모니터링을 수행하도록 할 것이며 인스트루먼트 컨트롤을 위한 드라이버로서 VISA(Virtual Instrument Standard Architecture)를 활용할 것이다. Microsoft’s ActiveX corresponding to the advanced type of COM based distributed application model is made available for the use of component communication[l]. ActiveX supports reuse of code and object linking, so developers can integrate many objects into application and improve the efficiency of development. Also, Integration of seperated application makes easy to develop customized program[2]. ActiveX, formerly used to develope communication application in Visual C++ or Visual Basic, has the efficiency of programming and is widely used in the M&C(Monitoring and Control) of instruments. In this paper, we will implement M&C application capable of remote operating, and besides, develop web browser and media player in the form of Activex control in order to control and monitor program remotely.

보안 인증을 통한 ActiveX Control 보안 관리 모델에 관한 연구

박성용(Sung-Yong Park),문종섭(Jong-Sub Moon) 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.6

최근 국내는 전자정부?인터넷 뱅킹?포털 등 대부분의 웹 사이트에서 다양하고 동적인 온라인 서비스 제공을 위해 ActiveX Control을 개발?배포하고 있다. 하지만, 안전성이 검증되지 않은 ActiveX Control은 인터넷 사용자들에게 심각한 보안위협요소가 될 수 있다. 최근 이러한 취약한 ActiveX Control로 인한 해킹 사고가 급격히 증가되고 있음에도 불구하고, 개인 PC 보안의식에만 의존할 뿐 이에 대한 국가적인 보안정책이나 대책이 마련되어 있지 않다. 이에, 본 논문에서는 ActiveX Control 개발?배포?사용의 3가지 측면 모두에서 안전하고 효율적인 보안관리가 가능한 ?보안인증을 통한 ActiveX Control 보안관리 모델?설계를 위한 기술적 방법론을 제안하고자 한다. In recent years, to provide visitors with the various and dynamic services, many ActiveX Controls are developed and distributed in most of the web sites such as e-Goverment?Internet banking?Portal in Korea. However, unsecure ActiveX Controls may be critical security threats on Internet User. Although hacking incidents increase sharply for these vulnerable ActiveX Controls, there are not enough national security actions or policies. Thus, in this paper we propose the technical method to design ‘Security model for ActiveX Control Managemnet through Security Authentication' to be able safe and useful security management in three aspects of development?distribution?using.

ActiveX 기반 웹사이트의 불만족 요인과 ActiveX 폐지 찬성 의도와의 관련성

최승재,김태성 한국경영정보학회 2014 한국경영정보학회 학술대회논문집 Vol.2014 No.1

본 연구는 웹사이트 품질 및 만족에 관한 선행연 구를 기반으로 국내 ActiveX 기반 웹사이트에 대한 사용자의 불만족에 영향을 미치는 요인들을 추출하 고 사용자의 불만족은 ActiveX 폐지 찬성 의도에 어 떤 영향을 미치는지 검증하였다. 109명의 설문지 실증분석 결과 ActiveX에 대한 불 신과 ActiveX 기반 웹 사이트의 시스템 품질 요소 중 불안정성, 비효율성이 사용자의 불만족에 영향을 미쳤고, 불만족은 ActiveX 폐지 찬성 의도에 유의미 한 영향을 주는 것으로 나타났다.

A Study on Web Standards Compliance for ActiveX Usage of Korean Shopping Malls

Miyoung Bae,Hankyu Lim 보안공학연구지원센터 2016 International Journal of u- and e- Service, Scienc Vol.9 No.7

Recently, the web users are able to access to web pages in various access environments through various media. However, use of ActiveX and inconformity to the web standards prevent web pages from providing the web users the same functions and designs in various web browsers. In this study, the current status of ActiveX utilization and conformity to the web standards were investigated with the online shopping mall sites and governmental institutions which often employ ActiveX. The result showed that web pages of a number of shopping malls and governmental institutions still use ActiveX and are vulnerable to cross-browsing for not conforming to the web standards

Internet-based Dimensional Verification System for Reverse Engineering Processes

In-Ho Song,Kyung-Don Kim,정성종 대한기계학회 2008 JOURNAL OF MECHANICAL SCIENCE AND TECHNOLOGY Vol.22 No.7

This paper proposes a design methodology for a Web-based collaborative system applicable to reverse engineering processes in a distributed environment. By using the developed system, design reviewers of new products are able to confirm geometric shapes, inspect dimensional information of products through measured point data, and exchange views with other design reviewers on the Web. In addition, it is applicable to verifying accuracy of production processes by manufacturing engineers. Functional requirements for designing this Web-based dimensional verification system are described in this paper. ActiveX-server architecture and OpenGL plug-in methods using ActiveX controls realize the proposed system. In the developed system, visualization and dimensional inspection of the measured point data are done directly on the Web; conversion of the point data into a CAD file or a VRML form is unnecessary. Dimensional verification results and design modification ideas are uploaded to markups and/or XML files during collaboration processes. Collaborators review the markup results created by others to produce a good design result on the Web. The use of XML files allows information sharing on the Web to be independent of the platform of the developed system. It is possible to diversify the information sharing capability among design collaborators. Validity and effectiveness of the developed system has been confirmed by case studies.

ActiveX 컨트롤을 이용한 웹 기반 실시간 원격진료 시스템의 의료 영상 평가

김동근,유선국,정석명,김남현 대한의료정보학회 2003 Healthcare Informatics Research Vol.9 No.3

Telemedicine is described as combination of topics from the fields of telecommunication, medicine, and information and literally telemedicine means medicine at a distance. In this study, we present a web based real-time telemedicine application(WEBRETA) that was designed for patients who needs diagnosis on the Internet. The WEBRETA system is supporting transmitting of MPEG-4 video format(640*480)that was appropriate for Internet and designed with ActiveX controls technology that is also suitable for telecommunication link such as ADSL, VDSL and Cable modem which are very popular communication link in Korea. To improve the reliability and the usefulness of this prototype we involved the PSNR method and subjective score measuring from doctors. Futhermore, we will evaluate the WEBRETA with various communication network environment to improve how this system can contribute the diagnosis of patients and to analysis.

차세대 웹표준 기반의 경량 컨테이너 구조 환경에서 개발 생산성 있는 엔터프라이즈 시스템의 설계 및 구현

이명호 ( Myeong Ho Lee ) 대한설비관리학회 2016 대한설비관리학회지 Vol.21 No.2

In the late 1990``s, it was inevitable that the world used ActiveX while creating new web services such as internet banking. However, the Korean internet environment has slowly divorced itself from the ever-evolving global standard and has become enslaved to a particular operating system and web browser as a result of the overuse of ActiveX. Consequently, the domestic ICT industry has been facing difficulties as of late, falling victim to platform and software incompetency, while overseas companies are gaining strong influence and control over the ICT market, owing to the smart revolution which began with the introduction of the iPhone and iPad. HTML5/CSS3, which is the next-generation web standards, is the perfect alternative to ActiveX for solving those problems mentioned above by allowing people to utilize internet service anywhere, at anytime, regardless of the device being used. Furthermore, we have reached a pivotal moment where domestic software companies which develop content services are broadening the opportunities for global market entry. This research attempts to implement an enterprise system which will be productive in the lightweight container architecture environment based on next-generation web standards.

ActiveX를 활용한 웹 기반 In/Outbound CTI 모듈 설계 및 구현에 관한 연구

文承鎭 水原大學校 2003 論文集 Vol.21 No.-

The popularity of Internet has boosted the economy in recent years, especially the venture industries including SOHO(Small Office Home Office) businesses. Accordingly, CTI(Computer Telephony Integration), which is simultaneously utilizing PSTN and Broadband, has proven its effectiveness in Call Centers, UMS, Escorted Browing in internet shopping mall and eCRM. Especially, as a application field of the CTI, the web-based CRM which integrates the database technologies into ActiveX technique on the internet requires to be more efficient for the management of incoming and outgoing calls as well as normal flow of call controls. In this study, we has designed and implemented a small-scale CTI sub-system, a management of student-teacher interaction system, which enhances the web-based user interface for Automated Real-Time Inbound and Outbound call Monitoring. Such system is capable of utilizing the current CTI and ActiveX technologies more cost-effectively and adapt to the open environments more easily.

보안 프로그램의 취약성 및 문제점에 관한 연구

전정훈 한국융합보안학회 2012 융합보안 논문지 Vol.12 No.6

최근 보안 프로그램은 웹 인증에 있어, 클라이언트 시스템의 보안성 향상을 위해 널리 사용되고 있다. 보안 프로그램 은 키보드 보안 기능과 인증서 관리, 백신, 방화벽 등의 기능들을 제공하고 있다. 특히 보안을 요하는 금융기관이나, 정 부기관, 그리고 일부 민간 기업용 홈 페이지 등에서 사용되고 있으며, 프로그램 설치를 위해 ActiveX가 사용되고 있다. 그러나 보안 프로그램으로 인한 여러 보안 취약점과 문제점들이 나타나면서, 클라이언트 시스템의 안전성을 위협하고 있다. 따라서 본 논문은 보안 프로그램에 따른 취약점과 문제점을 사례연구 및 실험을 통해 분석함으로써, 향후 보안 프 로그램의 성능향상 및 새로운 인증체계의 구축을 위한 자료로 활용될 것으로 기대한다