제로보드는 PHP와 MySQL이 지원되는 공개용 게시판이다. 초보자들도 쉽게 사용할 수 있기 때문에 많이 사용되고 있으나 제로보드4를 마지막으로 더 이상의 업데이트는 없다고 알려져 있다. 때문에 취약점이 발생한다면 이를 사용하는 게시판 관리자들은 속수무책으로 당할 수밖에 없는 문제점이 존재한다. 본 논문에서는 XSS에서 확장하고 발전된 CSRF 공격에 대하여 알아보고, VM 웨어를 이용한 환경구축을 통해 대표적으로 게시판에서 이루어지는 CSRF의 공격방법과 그에 대한 대안방법을 제시한다. 제안된 방법(공격방법, 대안방법)의 주요한 특징 및 기여도는 다음과 같다. 첫째, VM 웨어를 비롯한 여러 tool들을 이용해 환경구축을 한다. 둘째, 프록시 서버를 사용해 취약점을 분석해 이에 대비한다. 성능평가는 고안한 대응방안을 적용시켜 그 성능을 평가한다.
제로보드는 PHP와 MySQL이 지원되는 공개용 게시판이다. 초보자들도 쉽게 사용할 수 있기 때문에 많이 사용되고 있으나 제로보드4를 마지막으로 더 이상의 업데이트는 없다고 알려져 있다. 때문에 취약점이 발생한다면 이를 사용하는 게시판 관리자들은 속수무책으로 당할 수밖에 없는 문제점이 존재한다. 본 논문에서는 XSS에서 확장하고 발전된 CSRF 공격에 대하여 알아보고, VM 웨어를 이용한 환경구축을 통해 대표적으로 게시판에서 이루어지는 CSRF의 공격방법과 그에 대한 대안방법을 제시한다. 제안된 방법(공격방법, 대안방법)의 주요한 특징 및 기여도는 다음과 같다. 첫째, VM 웨어를 비롯한 여러 tool들을 이용해 환경구축을 한다. 둘째, 프록시 서버를 사용해 취약점을 분석해 이에 대비한다. 성능평가는 고안한 대응방안을 적용시켜 그 성능을 평가한다.
Zeroboard is a public bulletin board that can support PHP and MySQL. It has been used by many people because it is easy to use, but there is no more updates after Zeroboard4. So, there is a problem that its administrator will have nothing to do about it if zeroboard has a vulnerability. In this pape...
Zeroboard is a public bulletin board that can support PHP and MySQL. It has been used by many people because it is easy to use, but there is no more updates after Zeroboard4. So, there is a problem that its administrator will have nothing to do about it if zeroboard has a vulnerability. In this paper, we will discuss about CSRF(Cross Site request Forgery) which is developed and expanded by XSS(Cross Site Scripting). Also, we will find CSRF attacks and suggest an alternative method using VM-ware. The main features and contributions of the proposed method are as follows. First, make an environment construction using VM-ware and other tools. Second, analyze and prepare vulnerabilities using Proxy server. Performance evaluation will be conducted by applying possible countermeasure.
Zeroboard is a public bulletin board that can support PHP and MySQL. It has been used by many people because it is easy to use, but there is no more updates after Zeroboard4. So, there is a problem that its administrator will have nothing to do about it if zeroboard has a vulnerability. In this paper, we will discuss about CSRF(Cross Site request Forgery) which is developed and expanded by XSS(Cross Site Scripting). Also, we will find CSRF attacks and suggest an alternative method using VM-ware. The main features and contributions of the proposed method are as follows. First, make an environment construction using VM-ware and other tools. Second, analyze and prepare vulnerabilities using Proxy server. Performance evaluation will be conducted by applying possible countermeasure.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
VM 웨어는 실존하는 하드웨어 정보들을 공유하여 가상으로 하드웨어의 층을 만든다. 다시 말해 시스템의 하드웨어를 공유함으로 해서 현재 사용 중인 운영체제에 영향을 끼치지 않은 상태에서 다른 운영체제를 실행하는 것이다. 이러한 원리로 작동하기 때문에 다른 운영체제에 에러가 생기더라도 창 내에서만 멈추게 되므로 안전성도 뛰어나다[3].
본 논문에서는 OWASP에 선정된 10대 웹 취약점 중 한가지로 뽑힌 CSRF(Cross Site Request Forgery)에 대한 분석과 실험을 통하여 그에 대한 위험성을 알아보고 대응 방안을 제시하였다. 공개용 소스인 제로보드의 취약점을 발견하고 그것을 이용하여 실험을 할 수 있었다.
본 논문에서는 VM 웨어(VM-ware)를 이용하여 서버를 설계하고 CSRF 기법이 많이 사용되는 제로보드를 설치해 제로보드에서 CSRF 공격을 수행하고 그 위험성을 확인한 후 그에 대한 대안 방안을 제시하는 것을 목표로 하고 있다.
제안 방법
본 논문에서는 OWASP에 선정된 10대 웹 취약점 중 한가지로 뽑힌 CSRF(Cross Site Request Forgery)에 대한 분석과 실험을 통하여 그에 대한 위험성을 알아보고 대응 방안을 제시하였다. 공개용 소스인 제로보드의 취약점을 발견하고 그것을 이용하여 실험을 할 수 있었다. 이 공격방법은 외부서버(해커의 서버)에 페이지를 올려놓고 게시판에서 열게 되는데 이 때 탈퇴가 가능한 이유는 세션 값이 그대로 유지되기 때문이다.
성능/효과
탈퇴 실행 시에 파라미터 값을 조작이 가능한지 알아봐야 한다. 탈퇴를 직접 해보면서 조사해보니 파라미터 값이 특별히 존재하지 않는다는 것을 알 수 있었다. 그림 3은 페킷의 이동경로를 설명한다.
질의응답
핵심어
질문
논문에서 추출한 답변
제로보드가 많이 사용되는 이유는?
제로보드는 PHP와 MySQL이 지원되는 공개용 게시판이다. 초보자들도 쉽게 사용할 수 있기 때문에 많이 사용되고 있으나 제로보드4를 마지막으로 더 이상의 업데이트는 없다고 알려져 있다. 때문에 취약점이 발생한다면 이를 사용하는 게시판 관리자들은 속수무책으로 당할 수밖에 없는 문제점이 존재한다.
제로보드에 문제가 발생하면 게시판 관리자들이 속수무책 당할 수밖에 없는 이유는?
제로보드는 PHP와 MySQL이 지원되는 공개용 게시판이다. 초보자들도 쉽게 사용할 수 있기 때문에 많이 사용되고 있으나 제로보드4를 마지막으로 더 이상의 업데이트는 없다고 알려져 있다. 때문에 취약점이 발생한다면 이를 사용하는 게시판 관리자들은 속수무책으로 당할 수밖에 없는 문제점이 존재한다.
제로보드란?
제로보드는 PHP와 MySQL이 지원되는 공개용 게시판이다. 초보자들도 쉽게 사용할 수 있기 때문에 많이 사용되고 있으나 제로보드4를 마지막으로 더 이상의 업데이트는 없다고 알려져 있다.
Boyan Chen, Pavol Zavarsky, Ron Ruhl and Dale Lindskog, "A Study of the Effectiveness of CSRF Guard," IEEE Proc. of PASSAT/SocialCom 2011, October 2011.
Xiaoli Lin, Pavol Zavarsky, Ron Ruhl, Dale Lindskog, "Threat Modeling for CSRF Attacks," IEEE Proc. of CSE2009, pp.486-491, August 2009.
Hossein Saiedian, Dan S. Broyles, "Security Vulnerabilities in the Same-Origin Policy: Implications and Alternatives," Computer, vol.44, issue9, pp.29 -36, September 2011.
Tatiana Alexenko, Mark Jenne, Suman Deb Roy, Wenjun Zeng, "Cross-Site Request Forgery: Attack and Defense," IEEE Proc. of CCNC2010, pp.1-2, January 2010.
Yin-Chang Sung, Michael Cheng Yi Cho, Chi-Wei Wang, Chia-Wei Hsu, Shiuhpyng Winston Shieh, "Light-Weight CSRF Protection by Labeling User-Created Contents," IEEE Proc. of SERE 2013, pp.60-69, June 2013.
Nenad Jovanovic, Engin Kirda, and Christopher Kruegel, "Preventing Cross Site Request Forgery Attacks," IEEE Proc. of Securecomm and Workshops 2006, pp.1-10, August 2006.
Soeui Kim, Duri Choi, Beongku An, "Detection and Prevention Method by Analyzing Malignant Code of Malignant Bot," JIIBC, pp.199-207, vol.13, no.2, April 2013.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.