취약점의 권한 획득 정도에 따른 웹 애플리케이션 취약성 수치화 프레임워크

조성영; 유수연; 전상훈; 임채호; 김세헌

취약점의 권한 획득 정도에 따른 웹 애플리케이션 취약성 수치화 프레임워크

Vol. 22, No. 3, pp. 601-614, 6월. 2012

10.13089/JKIISC.2012.22.3.601, Full Text:

Keywords: web vulnerability, scoring system, privilege acquisition, rating
Abstract

안전한 웹 서비스를 제공하기 위하여 보안을 고려한 웹 애플리케이션의 설계와 구현이 요구되고 있다. 이에 따라 웹 애플리케이션의 취약성을 수치화할 수 있는 여러 가지 프레임워크들이 제시되고 있지만, 이러한 프레임워크에 의하여 도출된 수치는 누적 방식에 의하여 계산되기 때문에 취약점의 심각성을 제대로 분류할 수 없다는 문제점이 존재한다. 본 연구에서는 웹 애플리케이션에서 발생할 수 있는 취약점을 권한 획득 가능성에 따라 등급을 나누고 수치화함으로써 취약점에 대하여 우선순위를 둘 수 있다. 또한 개별 웹 애플리케이션뿐 아니라 한 조직에서 제공하는 여러 웹 애플리케이션에 대한 취약성을 수치화함으로써 어느 웹 애플리케이션이 가장 취약하며 우선적으로 처리해야 하는지 판단할 수 있다. 실제 크롤링 기반 웹 스캐너를 통하여 발견된 취약점들에 대하여 우리가 제안한 프레임워크를 적용하여 등급을 나누고 수치화함으로써 취약점의 권한 획득 가능성에 따른 분류의 중요성을 보이고 있다.

Statistics

Show / Hide Statistics

Cite this article

[IEEE Style]

S. Cho, S. Yoo, S. Jeon, C. Lim, S. Kim, "A Web application vulnerability scoring framework by categorizing vulnerabilities according to privilege acquisition," Journal of The Korea Institute of Information Security and Cryptology, vol. 22, no. 3, pp. 601-614, 2012. DOI: 10.13089/JKIISC.2012.22.3.601.

[ACM Style]

Sung-Young Cho, Su-Yeon Yoo, Sang-Hun Jeon, Chae-Ho Lim, and Se-Hun Kim. 2012. A Web application vulnerability scoring framework by categorizing vulnerabilities according to privilege acquisition. Journal of The Korea Institute of Information Security and Cryptology, 22, 3, (2012), 601-614. DOI: 10.13089/JKIISC.2012.22.3.601.