[논문]서버와 사용자간 비밀 값을 이용한 보안성이 강화된 CSRF 방어

박진현; 정임영; 김순자

doi:10.7840/kics.2014.39b.3.162

서버와 사용자간 비밀 값을 이용한 보안성이 강화된 CSRF 방어
Enhanced CSRF Defense Using a Secret Value Between Server and User 원문보기

한국통신학회논문지. The Journal of Korea Information and Communications Society. 네트워크 및 서비스, v.39B no.3, 2014년, pp.162 - 168

박진현 (경북대학교 전자공학부 컴퓨터통신망 연구실) , 정임영 (경북대학교 전자공학부 차세대 IT융합보안 연구실) , 김순자 (경북대학교 전자공학부 컴퓨터통신망 연구실)

초록
AI-Helper

Cross-Site Request Forgery(CSRF)는 오늘날 인터넷 환경에서 발생하는 악의적인 공격방식 중 하나이다. 이는 권한이 없는 공격자가 사용자의 브라우저를 통해 웹 서버에 정당한 요청을 전송 하도록 한다. 공격자에 의한 요청은 웹 서버에서 정상적인 요청으로 판단되어 사용자가 원하지 않는 결과를 가져온다. 이러한 문제는 웹 서버에서 쿠키에 포함된 정보만으로 사용자를 식별하기 때문에 발생한다. 본 논문에서는 쿠키에 포함된 정보 이외에 페이지 식별번호와 사용자 비밀번호의 해시 값을 추가하여 요청을 검증하는 보안성이 강화된 CSRF 방어를 제안한다. 이는 구현이 간단하며 기존 CSRF 대응법으로 알려진 일회성 토큰을 이용한 방식의 문제점인 토큰 노출의 문제점을 해결한다.

Abstract ▼ AI-Helper

Cross-Site Request Forgery is one of the attack techniques occurring in today's Web Applications. It allows an unauthorized attacker to send authorized requests to Web Server through end-users' browsers. These requests are approved by the Web Server as normal requests therefore unexpected results arise. The problem is that the Web Server verifies an end-user using his Cookie information. In this paper, we propose an enhanced CSRF defense scheme which uses Page Identifier and user password's hash value in addition to the Cookie value which is used to verify the normal requests. Our solution is simple to implement and solves the problem of the token disclosure when only a random token is used for normal request verification.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 사용자를 식별하기 위해 Cookie에 포함된 세션ID 이외에 페이지를 식별하기 위한 페이지식별번호를 사용하는 방법을 제안한다. 또한 요청 순간 검증에 필요한 값을 생성하기 위해서 사용자와 웹 서버 사이의 비밀 값을 활용한다.

가설 설정

1) 사용자는 웹 서버에 특정 페이지를 요청한다.
3) 사용자는 데이터 입력 후 웹 서버에 데이터베이스 입력 수행을 요청한다.(POST 요청)
사용자는 웹 서버에 인증을 정상적으로 수행하였다고 가정한다.

제안 방법

20GHz CPU를 사용하고 메모리는 4GB이다. 가상머신을 이용해 리눅스를 설치한 후 리눅스에 웹 서버를 구동 하였다. 웹 서버의 버전은 Apache2.
사용한 웹 기술은 php이며, IE10을 통해서 웹 서버에 접속 테스트를 하였다. 또한 임의의 수많은 요청을 전송하기 위해서 java.net 패키지를 이용하여 클라이언트를 구현하였다.
5) 웹 서버는 세션ID를 통해 사용자를 식별하고 데이터베이스에 접속하여 사용자의 비밀 값을 가져온다. 마지막으로 사용자와 동일한 방식으로 검증 값을 생성 후 사용자가 전송한 검증 값과 비교한다.
본 논문에서는 CSRF 공격에 대한 대응방안으로 세션ID와 페이지식별번호 그리고 사용자 비밀번호의 해시 값을 이용하여 요청 순간 검증에 필요한 값을 생성 하도록 하였다.
CSRF 공격을 방지하기 위해 암호 기법을 사용하는 것은 웹 서버에 오버헤드가 추가될 수 있다. 본 논문의 제안 방식은 암호 기법을 사용하며, 이는 웹 서버의 성능에 영향을 미친다. 암호 기법을 사용하지 않는 방식 중 현재 사용되고 있으며 권장되는 방식은 시도-응답 방식이다^[10].
이 세가지 값을 연접 후 SHA1 함수에 입력하고 함수의 결과 값을 검증에 사용한다. 사용자의 비밀번호는 웹 서버에 바로 저장되는 것이 아닌 비밀번호를 해시한 값이 저장되는데 이 값을 활용하여 검증에 필요한 값을 생성 하였다. 이 해시 값은 오직 사용자와 웹 서버만이 공유하고 있는 값이다.
실험을 수행하기 전 데이터베이스에 100명의 사용자를 등록한 후, 자바 클라이언트에서 이 100명의 사용자 각각에 대해서 100개의 POST 요청 메시지를 생성하여 서버로 전송하고 이 요청에 대한 응답 시간을 측정 하였다.
이때 일회성 토큰을 이용한 방식과 제안 방식의 각 단계는 아래에 나타나 있다. 이 두 경우 각각에 대해서 사용자의 입력 요청(POST 요청)에 대한 웹 서버의 응답 시간을 자바 클라이언트를 이용하여 측정하였다.
이 장에서는 제안 방식의 보안성과 성능을 평가하기 위해서 실제 구현을 통해 실험을 수행 하였다. 4.
유효한 세션ID로 판단이 되면 데이터베이스에서 사용자 비밀번호의 해시 값을 가져온다. 이 후 세션ID와 전송 받은 페이지식별번호 그리고 사용자 비밀번호의 해시 값을 연접하여 사용자와 동일한 방식으로 해시 값을 생성한다. 이 해시 값과 사용자가 전송한 해시 값을 비교하여 일치여부를 판단한다.

대상 데이터

실습에 사용한 컴퓨터는 32비트로 동작하며, Intel Core i3 3.20GHz CPU를 사용하고 메모리는 4GB이다. 가상머신을 이용해 리눅스를 설치한 후 리눅스에 웹 서버를 구동 하였다.

데이터처리

따라서 추가되는 오버헤드를 측정하기 위해 시도응답 방식 중 One-time Token 방식과 본 논문에서 제안한 방식의 웹 서버 응답시간을 측정하여 성능을 비교하였다. 이렇게 함으로써 암호 기법을 사용한 방식과 사용하지 않는 방식의 웹 서버 성능 차이를 알 수 있다.

성능/효과

제안 방식에서 세션ID와 페이지식별번호는 헤더와 메시지의 body에 포함되어 있어서 스크립트를 이용하면 쉽게 노출될 수 있다. 그러나 사용자의 비밀번호는 스크립트를 통해서 알 수 없다.
제안 방식의 웹 서버 응답시간은 One-time Token을 이용한 방식과 비교해서 성능상의 차이가 크게 나타나지 않았다. 즉, 해시 함수(SHA1)의 사용과 데이터베이스 접속으로 인한 성능상의 문제는 나타나지 않는다.

후속연구

그러나 이와 같은 비밀번호 관리와 해시 함수 호출과 같은 작업을 수행하기 위해 사용자 브라우저에 추가 확장 프로그램이 필요하다. 확장 프로그램으로는 기존의 ID 관리 또는 패스워드 매니저 프로그램이 있으며, 이 프로그램에 제안 방식을 적용할 수 있어야 한다.
제안 방식에서 비밀번호 관리와 검증 값 생성을 안전하게 수행하기 위해서 패스워드 매니저와 같은 전용 프로그램이 필요하다. 또한 이러한 프로그램이 다양한 웹 서버와 호환이 가능하도록 할 필요가 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	일회성 토큰을 이용한 방식이 가진 보안성의 취약점은 무엇인가?	일회성 토큰을 이용한 방식은 토큰 값이 스크립트에 의해 노출되면 공격자에 의해 사용될 수 있다는 취약점이 있다[11-13]. 이와 같은 상황은 사용자가 form필드를 포함하는 페이지를 수신 후 오랫동안 웹 서버로 응답을 하지 않을 경우 발생한다.
	Cross Site Request Forgery(CSRF) 공격이란?	Cross Site Request Forgery(CSRF) 공격은 웹 환경에서 발생할 수 있는 공격 중 하나이다[1-4]. 이는 사전에 웹 서버에 인증된 사용자를 대상으로 하는 공격으로, 사용자가 의도하지 않은 요청을 웹 서버로 전송 하는 방법이다. 공격자는 웹 서버와 인증을 수행하지 않은 상태에서 인증된 사용자의 권한을 이용하여 웹서버로 요청 메시지를 전송한다. 이 악의적인 요청은 사용자의 브라우저를 통해 웹 서버로 전송되기 때문에 웹 서버에서는 정상적인 사용자의 요청과 구별할수 없다.
	CSRF공격에 대한 일반적인 시나리오의 절차는 무엇인가?	1) 사용자는 웹 서버와 인증 절차를 수행한다. 2) 사용자와 웹 서버 사이의 정상적인 요청과 응답 과정이다. 공격자는 이 요청과 응답 메시지를 분석함으로써 악의적인 URL 생성이 가능하게 된다. 3) 사용자는 웹 서버에 포함된 광고 또는 게시판의 링크를 통해서 공격자의 사이트에 접속하게 된다. 4) 사용자는 아래와 같이 악의적인 URL을 포함하는 이미지를 클릭한다. 이 후 자신이 원하지 않은 요청을 웹 서버로 전송 하게 된다. 사용자의 Cookie 값이 유효하다면 이와 같은 요청은 웹 서버에서 정상적인 사용자의 서비스 요청으로 판단되고, 그 결과 사용자가 의도하지 않는 작업이 웹 서버에서 실행된다. 5) 웹 서버는 요청을 정상적으로 수행 후 사용자에게 응답한다. 그림 1. 사이트간 위조 공격 시나리오

참고문헌 (15)

OWASP, The Ten Most Critical Web Application Security Risks(2013), Retrieved Dec., 30, 2013, from https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project.
J. H. Bang and R. Ha, "Evaluation methodology of diagnostic tool for security weakness of eGOV software," J. KICS, vol. 38, no. 4, pp. 335-343, Apr. 2013.
J. H. Bang and R. Ha, "Validation test codes development of static analysis tool for secure software," J. KICS, vol. 38, no. 5, pp. 420-427, May 2013.

원문보기 상세보기
S. H. Lee, Y. J. Maeng, D. H. Nyang, and K. H. Lee, "Possibility of disclosure of user information in internet explorer," J. KICS, vol. 38, no. 12, pp. 937-943, Dec. 2013.

원문보기 상세보기
P. De Ryck, L. Desment, T. Heyman, F. Piessens, and W. Joosen, "CsFire: Transparent client-side mitigation of malicious cross-domain requests," in Eng. Secure Software and Syst., vol. 5965, pp. 18-34, Berlin Heidelberg, Germany, Feb. 2010.
X. Lin, P. Zavarsky, R. Ruhl, and D. Lindskog, "Threat modeling for CSRF attacks," in Int. Conf. Computational Sci. and Eng., vol. 3, pp. 486-491, Aug. 2009.
Z. Mao, N. Li, and I. Molloy, "Defeating cross-site request forgery attacks with browser-enforced authenticity protection," in Financial Cryptography and Data Security, vol. 5628, pp. 238-255, Berlin Heidelberg, Germany, Feb. 2009.
A. Barth, C. Jackson, and J. C. Mitchell, "Robust defenses for cross-site request forgery," in Proc. ACM Conf. Comput. Commun. Security, pp. 75-88, New York, USA, Oct. 2008.
S. Khandelwal, P. Shah, M. K. Bhavsar, and D. S. Gandhi, "Frontline techniques to prevent web application vulnerability," Int. J. Advanced Research in Comput. Sci. Electron. Eng., vol. 2, no. 2, p. 208, Feb. 2013.
J. H. Park, I. Y. Jung, and S. J. Kim, "CSRF defense using page identifier and sessionID," UCWIT(2013), Daegu, Korea, Dec. 2013.
A. Czeskis, A. Moshchuk, T. Kohno, and H. J. Wang, "Lightweight server support for browser-based CSRF protection," in Proc. Int. Conf. World Wide Web, pp. 273-284, Geneva, Switzerland, May 2013.
E. Y. Chen, S.Gorbaty, A. Singhal, and C. Jackson, "Self-exfiltration: The dangers of browser-enforced information flow control," in Proc. Workshop of Web 2.0 Security and Pricacy 2012, vol. 2, San Francisco, USA, May 2012.
M. Heiderich, M. Niemietz, F. Schuster, T. Holz, and J. Schwenk, "Scriptless attacks - stealing the pie without touching the sill," in Proc. ACM Conf. Comput. Commun. Security, pp. 760-771, New York, USA, Oct. 2012.
J. Blatz, CSRF: Attack and Defense(2013), Retrieved Dec. 30, 2013, from http://www.fou ndstone.com.au/uk/resources/white-papers/wp-csrf-attack-defense.pdf.
Y. C. Sung, M. C. Y. Cho, C. W. Wang, C. W. Hsu, and S. W. Shieh, "Light-weight CSRF protection by labeling user-created contents," Int. Conf. Software Security and Reliability, pp. 60-69, Gaithersburg, USA, Jun. 2013.

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증