초록

용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

웹서비스 사용이 보편화되면서 웹 애플리케이션의 보안취약점을 악용하는 해커들이 늘어나고 있다. 악의적인 공격으로 인한 피해를 막기 위해 보안을 견고하게 하지만 보안취약점에 의한 피해가 빈번하게 발생하고 있다. 본 논문에서는 이러한 보안취약점 중 SQL Injection 취약점과 NoSQL Injection 취약점을 분석하고, 침투 시험을 통해 사용자의 최소한의 개입만으로 SQL Injection 취약점과 NoSQL Injection 취약점을 자동으로 탐지하는 도구의 설계 방법을 제안한다. 제안한 도구는 SQL Injection 취약점과 NoSQL Injection 취약점을 탐지하기 위한 전문적인 보안 지식을 요구하지 않기 때문에 자동 침투 시험 도구를 사용하면 보안 비전문가도 쉽게 취약점을 탐지할 수 있다.

웹서비스 사용이 보편화되면서 웹 애플리케이션의 보안취약점을 악용하는 해커들이 늘어나고 있다. 악의적인 공격으로 인한 피해를 막기 위해 보안을 견고하게 하지만 보안취약점에 의한 피해가 빈번하게 발생하고 있다. 본 논문에서는 이러한 보안취약점 중 SQL Injection 취약점과 NoSQL Injection 취약점을 분석하고, 침투 시험을 통해 사용자의 최소한의 개입만으로 SQL Injection 취약점과 NoSQL Injection 취약점을 자동으로 탐지하는 도구의 설계 방법을 제안한다. 제안한 도구는 SQL Injection 취약점과 NoSQL Injection 취약점을 탐지하기 위한 전문적인 보안 지식을 요구하지 않기 때문에 자동 침투 시험 도구를 사용하면 보안 비전문가도 쉽게 취약점을 탐지할 수 있다.

AI 본문요약

엑셀 다운로드 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

• 연구 주제
• 연구 방법
• 연구 결과

문제 정의

• [9]. 본 논문에서는 Document 저장방식의 MongoDB를 기준으로 취약점을 분석한다.
• 실제 서비스되고 있는 웹페이지에도 이 취약점들이 숨겨져 있을 수도 있다. 따라서 본 논문은 웹 애플리케이션에 대한 자동화된 SQL/NoSQL Injection 취약점 침투 시험 도구를 설계하는 것이 목표이다.
• 본 논문에서는 자동화된 침투 시험 도구의 설계를 제시하였다. 서비스하기 전 웹페이지나 개인 서버로 사용할 웹페이지를 제작하고 보안취약점이 있는지를 설계한 자동침투 시험 도구를 사용하면 보안에 전문적인 지식이 없는 보안 비전문가도 쉽게 취약점을 탐지할 수 있다.

제안 방법

• 다룬다. 흐름 민감 분석 기법과 문맥 민감 분석 기법을 사용해서 정적 분석 도구인 Pixy를 구현했다. I円xy의프로토타입은 Cross-Site Scripting(XSS)에 초점을 맞춰서 구현했지만, 논문에서 정의한 taint-style 취약점에 SQL Injection, Command Injection 도 포함되며, 이러한 taint-style 취약점들을 정적 분석으로 탐지한다.
• 흐름 민감 분석 기법과 문맥 민감 분석 기법을 사용해서 정적 분석 도구인 Pixy를 구현했다. I円xy의프로토타입은 Cross-Site Scripting(XSS)에 초점을 맞춰서 구현했지만, 논문에서 정의한 taint-style 취약점에 SQL Injection, Command Injection 도 포함되며, 이러한 taint-style 취약점들을 정적 분석으로 탐지한다. Pixy를 사용해서 3개의 웹 애플리케이션을 검사하여 알려지지 않은 15개의 취약점을 탐지했으며, 알려진 36개의 취약점을 재구성했다.
• I円xy의프로토타입은 Cross-Site Scripting(XSS)에 초점을 맞춰서 구현했지만, 논문에서 정의한 taint-style 취약점에 SQL Injection, Command Injection 도 포함되며, 이러한 taint-style 취약점들을 정적 분석으로 탐지한다. Pixy를 사용해서 3개의 웹 애플리케이션을 검사하여 알려지지 않은 15개의 취약점을 탐지했으며, 알려진 36개의 취약점을 재구성했다.
• 제안했다. 섀도우 캐릭터와 듀얼 파서를 생성하고 사용자의 입력이 있을 때 실제 질의 문자열과 그에 해당하는 섀도우 캐릭터를 비교하여 Code Injection을 탐지한다. 그리고 오탐과 미탐을 줄이기 위해 Ray, Ligatti 의 code와 non-code의 정의를 따르며 character 레벨의 taint tracking을 사용했다.
• 섀도우 캐릭터와 듀얼 파서를 생성하고 사용자의 입력이 있을 때 실제 질의 문자열과 그에 해당하는 섀도우 캐릭터를 비교하여 Code Injection을 탐지한다. 그리고 오탐과 미탐을 줄이기 위해 Ray, Ligatti 의 code와 non-code의 정의를 따르며 character 레벨의 taint tracking을 사용했다. 이 논문은 서버 단에서 실행하는 실시간 동적 분석을 주제로 다루고 있으며, SQL Injection과 NoSQL Injection에 대해 세세하게 분석하고 있다.
• 그리고 오탐과 미탐을 줄이기 위해 Ray, Ligatti 의 code와 non-code의 정의를 따르며 character 레벨의 taint tracking을 사용했다. 이 논문은 서버 단에서 실행하는 실시간 동적 분석을 주제로 다루고 있으며, SQL Injection과 NoSQL Injection에 대해 세세하게 분석하고 있다.
• SQL Injection 취약점이나 NoSQL Injection 취약점을 탐지하는 연구는 아니지만 크롤링이라는 기법을 사용하여 침투 시험 도구의 공격 지점을 수집한다. 본 논문에 사용되는 공격 지점 수집기의 주요 기능설계도 크롤링을 이용했다.
• 한다. 설계한 침투 시험 도구는 공격 지점을 크롤링을 통해 제공되는 링크에 따라 정상적으로 접근 가능한 URL의 사용자 입력 부분이나 파생된 URL을 수집한다. 크롤링은 웹 애플리케이션의 링크로 해당 애플리케이션에 노출되는 자원을 수집하는 것을 말하며, 해당 페이지 안에 존재하는 모든 링크를 수집한다.
• 결과 분석기에서는 침투 수행기에서 침투 시험을 수행한 후 해당하는 응답 결과를 분석하고 취약점을 판단한다. 요청한 응답의 상태 코드를 확인하며, 정상적으로 요청되었다면 상태 코드가 “200”이다.
• 침투 시험은 취약점을 직접 침투해서 공격해 봄으로써 공격 후의 응답을 분석해 취약한지 아닌지를 판단한다. 취약점에 대한 침투 시험의 공격 방법은 여러 가지가 있다.

성능/효과

• 접근 제어 취약점도 OWASP Top 10 2013에 선정될 정도로 매우 빈번하게 발견되지만, 치명적일 수 있는 취약점이다. 그리고 제안한 도구를 사용하면 접근 제어 정책이나 서버의 소스를 분석하지 않고 클라이언트에서 취약점 탐지가 가능하다. 크롤링은 웹 애플리케이션의 루트 페이지부터 접근 가능한 모든 링크의 URL을 요청하여 정상적으로 응답이 오면 해당 페이지 안에 존재하는 링크의 목록을 수집한다.
• 요청한 응답의 상태 코드를 확인하며, 정상적으로 요청되었다면 상태 코드가 “200”이다. 침투 시험을 시도한 후 웅답 결과 웹페이지의 상태 코드가 “200”이 아니라 다른 코드라면 침투 시험이 성공하지 못했다고 판단한다. 응답 결과 웹페이지의 상태 코드가 “200”으로 정상 요청이 된 상태라면 그 웹폐이지의 HTML 코드를 읽어 와서 공격 패턴에 상응하는 예상 응답 패턴을 확인한다.

후속연구

• 서비스하기 전 웹페이지나 개인 서버로 사용할 웹페이지를 제작하고 보안취약점이 있는지를 설계한 자동침투 시험 도구를 사용하면 보안에 전문적인 지식이 없는 보안 비전문가도 쉽게 취약점을 탐지할 수 있다. 앞으로 설계한 자동 침투 시험 도구를 구현할 예정이며, 설계 단계에서 발견하지 못한 문제점이 구현 단계에서 예상치 못한 결과를 초래할 수 있기 때문에 더 세밀하게 설계 단계를 다듬어보고자 한다.

본문요약 정보가 도움이 되었나요? 예 아니오 제출

이 논문을 인용한 문헌

더보기