웹 페이지 수행기능분석과 점검 우선순위를 활용한 모델기반 웹 취약점 점검

Model-based Web Vulnerability Inspection Using Web Page s Function Analysis and Inspection Priority

일반적으로 웹 취약점 점검은 그 정확성 때문에 수동방식을 많이 선호하나, 점검 속도의 한계 등으로 대상 웹 사이트 내 일부 화면만을 샘플링으로 선정하여 점검한다. 그런데 샘플링으로 웹 취약점 점검을 할 때, 점검 대상화면을 선정(샘플링)하기 위한 별도의 선정(샘플링)기준이 없어, 대상 화면의 선정을 전적으로 웹 취약점 점검자에 의존하게 되어, 점검자에 따라 동일한 웹 사이트에 대해 점검 결과가 달라지는 문제가 발생한다. 본 논문에서는 이러한 문제(점검자에 따라 동일한 웹 사이트에 대해 점검 결과가 달라지는 문제)를 해결하기 위해 점검모델을 생성하여 점검대상화면을 선정(샘플링)하는 방법을 제시하고자 한다. 본 논문에서 제시하는 방법은 점검대상 웹 사이트의 개별 화면을 수행하는 기능에 따라 분류하고, 웹 사이트 특성에 따라 분류한 후 수행기능 등을 이용하여 점검모델을 생성한다. 생성된 점검모델을 통해 점검Case를 만들어 객관적인 점검대상화면 선정 기준으로 활용할 수 있도록 한다. 논문에서 제안한 방식으로 실제 웹사이트를 점검한 결과 점검대상 화면의 식별에서 점검자에 의한 편향이 발생하지 않는 것을 확인할 수 있었다.

In general, Web vulnerability checking is preferred manual method to automatic method because of its accuracy. However, due to limit of inspection’s speed, only some screens in the target web-site are selected for sampling inspection. However, there is no separate selection(sampling) criterion for selecting the screen to be checked when checking the web vulnerability by sampling. Therefore, the selection of the target screen depends entirely on the web vulnerability Inspector. And, It is happen the problems that the results of the checking is different for the same web-site depending on the inspector. In this paper, to solve these problems, we classify the functions according to the function of each page and classifying according to the characteristics of the web-site, an inspection model is created using the performance function. Through the created inspection model, a check case can be created so that it can be used as a criterion for selecting an objective inspection target page. As a result of checking the actual website in the proposed method, it was confirmed that there is no deflection by the inspector in the identification of the screen to be checked.