년 - 년
공격코드 사례분석을 기반으로 한 SQL Injection에 대한 단계적 대응모델 연구 KCI 등재후보
한국융합보안학회 융합보안논문지 제12권 제1호 2012.03 pp.17-25
※ 기관로그인 시 무료 이용이 가능합니다.
4,000원
SQL Injection 기법은 공개된지 수년이 지났지만 웹해킹 공격중 가장 위험한 공격으로 분류되어 있다. 웹 프로그래밍은 자료의 효율적인 저장 및 검색을 위해 DBMS를 필수적으로 사용하고 있다. 주로 PHP,JSP,ASP 등의 스크립트 언어를 이용하여 DBMS와 연동한다. 이러한 웹 어플리케이션에서 클라이언트의 잘못된 입력값을 검증하지 않으므로 비정상적인 SQL 쿼리가 발생할 수 있다. 이러한 비정상적 쿼리는 사용자 인증을 우회하거나 데이터베이스에 저장된 데이터를 노출시킬 수 있다. 공격자는 SQL Injection 취약점을 이용하여 아이디와 암호를 몰라도 웹기반 인증을 통과할 수 있고 데이터베이스에 저장된 데이터를 열람해 볼 수 있다. SQL Injection에 대한 대책으로 다수의 방법이 발표되었다. 그러나 어느 한 가지 방법에 의존할 경우 많은 보안 공백이 발생할 수 있다. 단계적 대응모델은 사고 예방적 측면에서 소스코드 작성 단계, 서버 운용단계, 데이터베이스 핸드링 단계, 사용자 입력값 검증 활용 단계 등 대책을 프레임워크로 구성하여 적용하는 방법이다. 이 대응모델 을 적용할 경우 운용과정을 통해 존재하는 SQL Injection의 공격가능성을 보다 효과적으로 차단이 가능하다.
SQL Injection techniques disclosed web hacking years passed, but these are classified the most dangerous attacks. Recent web programming data for efficient storage and retrieval using a DBMS is essential. Mainly PHP, JSP, A SP, and scripting language used to interact with the DBMS. In this web environments application does not validate the client's invalid entry may cause abnormal SQL query. These unusual queries to bypass user authentication or data that is stored in the database can be exposed. SQL Injection vulnerability environment, an attacker can pass the web-based authentication using username and password and data stored in the database. Measures against SQL Injection on has been announced as a number of methods. But if you rely on any one method of many security hole ca n occur. The proposal of four levels leverage is composed with the source code, operational phases, database, server management side and the user input validation. This is a way to apply the measures in terms of why the accident preventive steps for creating a phased step-by-step response nodel, through the process of management measures, if applied, there is the possibility of SQL Injection attacks can be
수강신청 시스템에서의 SQL 분석을 통한 데이터베이스 성능 향상 방안 KCI 등재
국제문화기술진흥원 The Journal of the Convergence on Culture Technology (JCCT) Vol.6 No.4 2020.11 pp.693-701
※ 원문제공기관과의 협약기간이 종료되어 열람이 제한될 수 있습니다.
본 논문에서는 현재 운영되는 수강신청 시스템에서의 데이터베이스 성능을 향상시키기 위하여 SQL문 분석을 하였다. 수강신청 업무와 관련된 트랜잭션들에서 사용 중인 SQL문장들을 실행계획을 통하여 현행 데이터베이스 성능 을 측정하였으며, SQL 분석을 통하여 보완한 SQL문장들이 성능이 향상된 결과를 확인하였다. 전반적으로 실행계획 분석을 통하여 수강신청 데이터베이스 시스템의 성능을 향상시켰으며, 수강신청 SQL 의 일부 개선방법을 시험결과로 보였다. 개선된 방법은 데이터베이스 튜닝 작업을 통하여 수강신청과 관련된 테이블들과 인덱스 테이블들을 재조정하 고, SQL의 기능을 활용함으로서 성능이 향상된 수강신청 데이터베이스 시스템으로 진화한 최적화된 시스템을 구현할 수 있게 되었다. 제안된 방법으로 재조정된 수강신청 시스템은 이전에 운영하던 수강신청시스템에 비하여 성능적 측 면에서 우수한 결과를 나타내었으며, 통합 성능 시험 결과 1.8배 ~ 18배의 응답시간 단축을 가져왔다.
In this paper, SQL statements are analyzed to improve database performance in the current course registration system. The performance of the current database was measured through the execution plan of the SQL statements used in the transactions related to the course registration. Through the SQL analysis, the complemented SQL statements confirmed the improved performance. Overall, the performance of the course registration database system was improved through the analysis of the execution plan, and some improvement methods of the course registration SQL were shown as test results. The improved method is to reorganize the tables and index tables related to the course registration through database tuning, and utilize the SQL function to implement an optimized system that has evolved into a course database system with improved performance. The enrollment system re-adjusted by the proposed method showed excellent results in terms of performance compared to the previous enrollment system, and the integrated performance test result reduced the response time by 1.8 to 18 times.
Genomic data Analysis System using GenoSync based on SQL in Distributed Environment
국제인공지능학회(구 한국인터넷방송통신학회) The International Journal of Advanced Smart Convergence Volume 13 Number 3 2024.09 pp.150-155
※ 원문제공기관과의 협약기간이 종료되어 열람이 제한될 수 있습니다.
Genomic data plays a transformative role in medicine, biology, and forensic science, offering insights that drive advancements in clinical diagnosis, personalized medicine, and crime scene investigation. Despite its potential, the integration and analysis of diverse genomic datasets remain challenging due to compatibility issues and the specialized nature of existing tools. This paper presents the GenomeSync system, designed to overcome these limitations by utilizing the Hadoop framework for large-scale data handling and integration. GenomeSync enhances data accessibility and analysis through SQL-based search capabilities and machine learning techniques, facilitating the identification of genetic traits and the resolution of forensic cases. By preprocessing DNA profiles from crime scenes, the system calculates similarity scores to identify and aggregate related genomic data, enabling accurate prediction models and personalized treatment recommendations. GenomeSync offers greater flexibility and scalability, supporting complex analytical needs across industries. Its robust cloud-based infrastructure ensures data integrity and high performance, positioning GenomeSync as a crucial tool for reliable, data-driven decision-making in the genomic era.
실행계획 분석을 이용한 SQL Injection 공격 대응방안
[Kisti 연계] 대한전자공학회 Journal of the Institute of Electronics Engineers of Korea Vol.53 No.2 2016 pp.76-86
※ 협약을 통해 무료로 제공되는 자료로, 원문이용 방식은 연계기관의 정책을 따르고 있습니다.
최근 들어 급증하고 있는 보안 관련 사고들로 인하여 개인정보 및 기업정보의 관리에 대한 대책 마련이 시급한 가운데 있다. 보안 관련 사고 가운데 SQL Injection 공격은 가장 널리 악용되고, 오래된 전통적인 해킹 기법 중 하나이다. 최근까지도 웹 해킹을 시도하는 유형 중에서 높은 비중을 차지하고 있으며 그 공격 형태 또한 복잡해지고 있다. 많은 site에서 SQL Injection 공격에 대한 보완을 하여 이전보다 피해가 많이 줄어들기는 했으나 SQL Injection 공격에 의한 악의적인 관리자 권한 획득 및 비정상적인 로그인 등으로 인하여 여전히 많은 피해가 발생하고 있다. 더욱이 향후 사물인터넷 및 센서 빅데이터 환경이 널리 보급되면 수많은 디바이스들과 센서들이 연결되고 데이터의 양이 폭발적으로 증가하게 될 것이다. 그렇게 되면 현재보다 SQL Injection 공격에 의한 피해 규모는 더욱 커질 것이다. SQL Injection 공격에 대응하기 위해서는 많은 시간과 비용이 발생하게 되므로 시스템의 성능을 떨어뜨리지 않으면서도 신속정확하게 SQL Injection 공격을 판별하여 방어해야 할 것이다. 본 논문에서는 SQL Injection 공격에 대응하기 위하여 데이터 분석 및 기계학습을 통하여 웹로그 데이터를 검사하여 비정상적인 패턴의 입력값인 경우 SQL 명령어의 실행 계획을 분석하여 정상적인 SQL 명령어와 비정상적인 SQL 명령어를 판별하는 방안을 제시한다. 실험 및 성능 평가를 위해 사용자의 입력 또는 SQL Injection 공격툴에 의하여 입력되는 값을 실시간으로 실행계획을 분석하여 효과적으로 차단할 수 있음을 보여주었다.
SQL Injection attacks are the most widely used and also they are considered one of the oldest traditional hacking techniques. SQL Injection attacks are getting quite complicated and they perform a high portion among web hacking. The big data environments in the future will be widely used resulting in many devices and sensors will be connected to the internet and the amount of data that flows among devices will be highly increased. The scale of damage caused by SQL Injection attacks would be even greater in the future. Besides, creating security solutions against SQL Injection attacks are high costs and time-consuming. In order to prevent SQL Injection attacks, we have to operate quickly and accurately according to this data analysis techniques. We utilized data analytics and machine learning techniques to defend against SQL Injection attacks and analyzed the execution plan of the SQL command input if there are abnormal patterns through checking the web log files. Herein, we propose a way to distinguish between normal and abnormal SQL commands. We have analyzed the value entered by the user in real time using the automated SQL Injection attacks tools. We have proved that it is possible to ensure an effective defense through analyzing the execution plan of the SQL command.
데이터웨어하우스에서 효율적인 분석데이터 추출시 PL/SQL을 이용한 질의 최적화
[Kisti 연계] 한국정보처리학회 한국정보처리학회 학술대회논문집 2006 pp.313-316
※ 협약을 통해 무료로 제공되는 자료로, 원문이용 방식은 연계기관의 정책을 따르고 있습니다.
기존에 기업의 의사결정을 위해 사용되는 데이터 웨어하우스나 데이터 마트에서 성능향상을 위한 많은 연구들이 있었다. 하지만 복잡한 업무요건이 추가되고 기업의 요구가 다양해짐에 따라 RDBMS의 성능은 점점 낮아지고 이를 해결하기 위한 필요성이 요구되었다. 따라서 본 논문에서는 이를 해결하기 위해 버퍼기능을 하는 PL/SQL Package를 구현하여 효율적인 질의 최적화 방법을 제안하고자 한다. 그리고 본 논문에서 제안한 방법이 기존의 방법보다 성능이 좋다는 것을 실험을 통해 증명해 보였다.
지능형 SQL Query 분석을 통한 Application Layer 역추적 연구
[Kisti 연계] 한국정보통신학회 한국정보통신학회 학술대회논문집 2010 pp.265-268
※ 협약을 통해 무료로 제공되는 자료로, 원문이용 방식은 연계기관의 정책을 따르고 있습니다.
현재의 IP 위주의 역추적은 Proxy와 우회기법의 발달로 인하여 Real IP 역추적에 어려움이 있다. 또한 IP역추적 후에도 실제 Source IP인지 확인이 어렵다. 따라서 본 논문에서는 지능형 SQL Query에 대한 field, column, table 등의 요소값과 매칭되는 key값을 분석하고 여기에서 사용되는 Data값의 hit point를 분석하여 최초 사용자에 대한 Application Layer를 분석함으로써 IP 역추적에 대한 포렌식 증거로 삼는다. 본 연구는 포렌식과 DB보안 등 전자거래 발전에 기여할 것이다.
Current Traceback is difficult due to the development of bypass technique Proxy and IP-driven to trace the real IP Source IP is the IP traceback after the actual verification is difficult. In this paper, an intelligent about SQL Query field, column, table elements such as analysis of the value and the matching key values and Data used here to analyze source user hit point values for the user to trace the Application Layer IP for the analysis of forensic evidence guided by In this study, including forensic DB security will contribute to the development of electronic trading.
0개의 논문이 장바구니에 담겼습니다.
선택하신 파일을 압축중입니다.
잠시만 기다려 주십시오.