TY - JOUR AU - 도경구 DA - 2007/12 PY - 2007 UR - http://www.dbpia.co.kr/journal/articleDetail?nodeId=NODE00963715&language=ko_KR UR - https://repository.hanyang.ac.kr/handle/20.500.11754/107425 AB - 삽입취약점은 웹 응용프로그램에 공격자가 악성코드를 정상적인 입력 값 대신 넣어 시스템에 피해를 입힐 수 있는 대표적인 취약점이다. 삽입공격에서 안전한 애플리케이션은 외부에서 들어오는 입력 값에 들어있을 수 있는 악성문자를 여과하도록 작성해야 한다. 특정 문자의 여과 여부는 주요지점에서 문자열 변수에 특정 문자가 포함될 수 있는지를 검사하여 정적으로 알아낼 수 있다. 본 논문에서는 조건식의 의미를 분석에 적용하는 향상된 방식으로 응용프로그램의 삽입취약점을 정적으로 판정하는 방법을 제안한다. One common type of web-application vulnerabilities is injection flaw, where an attacker exploits faulty application code instead of normal input. In order to be free from injection flaw, an application program should be written in such a way that every potentially bad input character is filtered out. This paper proposes a precise analysis that statically checks whether or not an input string variable may have the given set of characters at hotspot. The precision is accomplished by taking the semantics of condition into account in the analysis. PB - 한국정보보호학회 KW - Static analysis KW - web application vulnerability TI - 웹 응용프로그램의 삽입취약점 탐지를 위한 문자열분석 TT - String analysis for detection of injection flaw in Web applications T2 - 정보보호학회논문지 ER -