[논문]Cross-Site Scripting(XSS) 프로세스 진단을 기반으로 한 웹 해킹 대응절차 모델 연구

노시춘

Cross-Site Scripting(XSS) 프로세스 진단을 기반으로 한 웹 해킹 대응절차 모델 연구
A Study of Web Hacking Response Procedures Model based on Diagnosis Studies for Cross-Site Scripting (XSS)Process 원문보기

융합보안논문지 = Convergence security journal, v.13 no.6, 2013년, pp.83 - 89

초록
AI-Helper

웹 해킹 대책을 적용할 경우 어느 한가지 기술이나 방법보다 통합된 대책을 구성하고 정보보안을 단계적으로 실행하는 방법이 필요하다. 웹 해킹 대응을 어느 한가지 방법에만 의존 시 많은 보안 공백을 발생 시킬 수 있다. 본 연구에서는 Cross-site scripting 공격 프로세스를 진단하여 웹 해킹 대응절차를 설계한다. 대응체계는 프레임워크를 구성하고 정보보안을 단계적으로 실행하는 방법이다. 단계적 대응모델은 대책의 구조를 시스템 설계단계, 운용단계, 사용단계로 구성하는 방법이다. 시스템 설계단계는 방법은 개발 라이프 사이클에 기초하여 시큐어코딩 설계로 보안 효율성을 높인다. 사용단계에서는 사용자의 보안 이행사항을 체계화한다. 본 방법론을 실무현장에 적용할 경우 현장에서 필요한 종합적인 접근방법론 모델로 활용할 수 있다.

Abstract ▼ AI-Helper

When applying web hacking techniques and methods it needs to configure the integrated step-by-step and run an information security. Web hackings rely upon only one way to respond to any security holes that can cause a lot. In this study the diagnostic process of cross-site scripting attacks and web hacking response procedures are designed. Response system is a framework for configuring and running a step-by-step information security. Step response model of the structure of the system design phase, measures, operational step, the steps in the method used. It is designed to secure efficiency of design phase of the system development life cycle, and combines the way in secure coding. In the use user's step, the security implementation tasks to organize the details. The methodology to be applied to the practice field if necessary, a comprehensive approach in the field can be used as a model methodology.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

애플리케이션의 접근통제 요구 사항을 반영하여 보안정책을 명시한다. 또한 접근통제 메커니즘의 우회 가능성을 검증한다.
급변하는 웹 시스템 환경에서 새로운 보안위협에 대해 대응 할 수 있는 보안방법과 보안 기술을 현장의 환경 에 효율적으로 적용시키기 위한 방법 연구는 매우 절실한 과제이다. 본 연구는 이 같은 측면에서 XSS 공격 프로세스 진단을 기반으로 한 웹 해킹 대응체계 모델을 제안한다. 연구순서는 서론, 웹 시스템 환경 진단, XSS 프로세스 진단, 웹 해킹 대응 절차 체계, 결론의 순서이다.
<%= 와 %> 태그 사이에 있는 name은 자바 프로그래밍 언어로 선언한 변수이름이다. 이 태그들은 웹 컨테이너에게 런타임에 자바코드를 실행시켜야 함을 알려주기 위한 목적으로 사용된다. JSP는 HTML과 흡사한 태그로 어려운 코딩 없이 자바 객체를 사용할 수 있다.

제안 방법

이런 측면에서 XSS 공격 프로세스 진단을 기반으로 한 웹 해킹 대응체계 모델을 설계하였다. XSS에 대한 단계적 대응방안 모델은 실무현장 사례를 활용하여 대책의 구조를 시스템 설계단계, 운용 단계, 사용단계로 구분하여 발생 가능한 취약성에 대해 단계적 대책을 도출했다. 시큐어 코딩은 개발 라이프 사이클과 접목해 보안을 적용하는 전체 과정 애플리케이션 개발단계 소스코드 보안성을 점검, 취약성 발생 요인을 제거하고 운영단계의 ‘애플리케이션 데이터 보안’ 영역으로 시큐어 코딩 체계를 설계할 때 실현된다.
어플리케이션은 이 정보를 가지고 웹 페이지를 생성하므로 request를 수정하여 공격할 수 있다. 따라서 모든 parameter에 대해 사용 전에 검증을 수행하여 허용된 값만을 받아들이는 Positive 방식으로 parameter 검증을 실시한다.
특정 방법만 의존 시 많은 보안 공백을 발생 시킬 수 있다. 본 연구에서는 대응방안 모델로 대책의 구조를 시스템 설계단계, 운용단계, 사용단계로 구분하여 발생 가능한 취약성에 대처한다. 각 단계에서 각각 적용할 이행방안을 도출하여 구성 하는데 설계자 - 시스템 운용자- 사용자로 시스 템 흐름에 의거한 대응책을 발굴하여 개발, 운용 절차를 정립하는 과정이다.
시스템 개발 라이프 사이클 전반의 기반 구축 작업으로서 개발 프로젝트를 내부 정책부터 컴플라이언스 준수까지의 모든 과정을 개발 프로젝트와 통합하는 시스템적인 시큐어 코딩 기반설계 이다. 시스템 구조 설계 보안사항은 서비스 메뉴 구조, 각 항목별 기능, 업무 흐름도, 데이터 흐름도, 서비스 구성도를 보안측면에서 설계한다. 이는 SDLC 전반 위협요소 진단의 기초이며 이러한 위협을 회피하기 위해 소스코드 어느 부분이 수정되어야 하는지 추적할 수 있는 토대가 된다.
프로그래밍 단계 보안은 애플리케이션 자체의 소스 코드 보안이다. 애플리케이션 자체의 소스 코드 보안은 소스코드에서 보안 취약점이 발생할 수 있는 지점을 정확하게 찾아내고 이를 개발자가 수정할 수 있는 가이드를 개발한다. 이를 위해 코드 함수 추적, 변수 추적 등을 통해 소스코드 라인별로 취약점을 정확하게 찾는다.
어플리케이션 차원에서 HTTP 헤더, 쿠키, 쿼리스트링, 폼 필드, 히든필드 등 인자에 대해 허용된 유형의 데이터만을 받아들인다. 웹 어플리케이션을 통해 악성코드를 전송하여 시스템 콜을 통한 OS 호출, 쉘 명령어를 통한 외부 프로그램 사용, SQL구문을 통한 백 엔드 데이터베이스 호출 등을 수행한다.
웹 해킹 대응절차 도출을 위해 웹 해킹을 유발 시키는 웹 시스템 구성환경을 살펴본다. 웹 시스 템 구조는 다양하며 본 연구에 인용한 소프트웨어 구조는 윈도우 운영체제 환경에서 스크립트코드 (script code) 언어를 사용, 연동하여 사용자 데이터를 입력하는 방법이다.
급변하는 웹 시스템 환경에서 새로운 보안 위협에 대해 대응할 수 있는 보안 기술과 최근 추세, 보안기술을 기업 환경에 효율적으로 적용시키기 위한 방법 연구는 매우 절실한 과제이다. 이런 측면에서 XSS 공격 프로세스 진단을 기반으로 한 웹 해킹 대응체계 모델을 설계하였다. XSS에 대한 단계적 대응방안 모델은 실무현장 사례를 활용하여 대책의 구조를 시스템 설계단계, 운용 단계, 사용단계로 구분하여 발생 가능한 취약성에 대해 단계적 대책을 도출했다.
시큐어 코딩은 개발 라이프 사이클과 접목해 보안을 적용하는 전체 과정 애플리케이션 개발단계 소스코드 보안성을 점검, 취약성 발생 요인을 제거하고 운영단계의 ‘애플리케이션 데이터 보안’ 영역으로 시큐어 코딩 체계를 설계할 때 실현된다. 이를 위해 SDLC 단계에 기초하여 각 단계에 적용할 이행방안을 프레임워크로 설계했다. 제안된 프레임워크는 설계자 - 시스템 운용자 - 사용자 시스템 기능 흐름에 의거한 대응책의 기반으로서 업무현장의 보안 이행의 토대로 활용되기를 기대한다.
이를 위해 코드 함수 추적, 변수 추적 등을 통해 소스코드 라인별로 취약점을 정확하게 찾는다. 컨퍼넌트(component) 종류, 프로세스관계도(relationship), 코드관계도(relationship), 매핑 관계도의 변화 관리와 형성관리가 포함된 배포 기능까지 갖춰 소프트웨어 아키텍처 설계를 시행한다.
웹 방화벽은 보완장치로 활용해야 하며, 프로그램 수정 조치 등 근본적 원인제거가 반드시 수행되어야 한다. 프로그램 소스 상에서 입력값 검증이 적절히 이루어졌는지 점검(white box test)하고 웹 취약점 점검도구를 병행하여 점검(black box test)한다.

대상 데이터

웹 어플리케이션 측면에서 클라이언트가 제공한 특수 문자를 제거하거나 특수 문자를 HTML 문자로 바꾼다. 필터링 대상은 GET 질의 문자열, POST 데이터, 쿠키, URL, 그리고 일반적으로 브라우저와 웹서버가 주고받는 모든 데이터를 포함한다. 어플리케이션 차원에서 HTTP 헤더, 쿠키, 쿼리스트링, 폼 필드, 히든필드 등 인자에 대해 허용된 유형의 데이터만을 받아들인다.

후속연구

이를 위해 SDLC 단계에 기초하여 각 단계에 적용할 이행방안을 프레임워크로 설계했다. 제안된 프레임워크는 설계자 - 시스템 운용자 - 사용자 시스템 기능 흐름에 의거한 대응책의 기반으로서 업무현장의 보안 이행의 토대로 활용되기를 기대한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	Cross-Site Scripting은 어떤 특징을 가지는 기법인가?	또한 웹 해킹(web hacking)의 대처가 미흡한 데서 그 원인이 크다고 보인다. 웹 해킹 종류 중 Cross-Site Scripting (XSS)은 다른 보안위협에 비해 목표 시스템의 환경에 따른 영향을 크게 받으며 쉽게 사용할 수 있고 공격에 성공할 경우 위력이 큰 공격기법 이다. XSS에 대한 대응은 아키텍처 설계, 애플리케이션 로직, 사용자의 사용방법 측면에서 통합 되고 종합화된 방법으로 대처하지 않으면 효과를 달성할 수 없다.
	<%와 %>, <%= 와 %>태그들은 어떠한 목적으로 사용되는가?	<%= 와 %> 태그 사이에 있는 name은 자바 프로그래밍 언어로 선언한 변수이름이다. 이 태그들은 웹 컨테이너에게 런타임에 자바코드를 실행시켜야 함을 알려주기 위한 목적으로 사용된다. JSP는 HTML과 흡사한 태그로 어려운 코딩 없이 자바 객체를 사용할 수 있다.
	HTTP 요청 메시지지는 어떻게 구성되는가?	HTTP Request는 웹 서버에 데이터를 요청, 전송 시 보내는 패킷으로 GET방식은 일반적 HTTP Request 형태이며 웹 브라우저에 요청 데이터에 대한 인수를 URL(uniform resource locator)을 통해 전송한다. HTTP 요청 메시지는 요청라인(request line), 헤더(header), 몸체(body)로 구성된다. 헤더는 서버 프로그램 종류와 버전, MIME 정보(버전, 정보길이, 종류), 몸체에 담고 있는 문서 길이, 문서의 유형 등 문서 관련정보를 포함 한다.

참고문헌 (11)

David Gourley and Brian Totty, "HTTP: The Definitive Guide", O'Reilly Media, 2002.
Jeom goo Kim . SiChoon Noh,A Study of Step-by-step Countermeasures Model through Analysis of SQL Injection Attacks Code, Mar.2012.
Stepen Cost, An Introduction to SQL Injection Attacks, for Oracle develops, 2007.3
David Gourley and Brian Totty, "HTTP: The Definitive Guide", O'Reilly Media, 2002.
http://www.owasp.org/index.php/Cross-Site _Request_Forgery
OWASP, CSRF Guard, http://www.owasp.org/index.php/CSRF_Guard
J. K. Kwon, S. Park and D. K. Sung, "Log-likelihood ratio(LLR) conversion schemes in orthogonal code hopping multiplexing," IEEE Comm. Letters, vol. 7, no. 3, pp. 104-106, Mar. 2003.

상세보기
N. Jovanovic, E. Kirda, and C. Kruegel, "Preventing Cross Site Request Forgery attacks", In IEEE International Conference on Security and Privacy in Communication Networks (SecureComm), 2006.
Yia-an Huang, Wenke Lee, "A Cooperative Intrusion Detection System for Ad hoc Networks," Proceedings of the 1st ACM Workshop on Security of Ad hoc and Sensor Networks, 2003, pp.135-147.
Sichoon Noh, Dong Chun Lee, and Kuimam J. Kim, "Improved Structure Management of Gateway Firewall Systems for Effective Networks Security", Springer, 2003.
Stephen Marsh and Mark R. Dibben, "Trust, Untrust, Distrust and Mistrust - An Exploration of the Dark(er) side", iTrust 2005, LNCS 3477, pp. 17-33, 2005.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증