CSRF 취약점 자동 침투 시험 도구의 설계 및 구현

Abstract

CSRF(Cross-Site Request Forgery)는 공격자가 사용자의 웹 브라우저 를 통해 신뢰된 사이트에서 사용자가 원하지 않는 행동을 수행하도록 속 이는 웹 애플리케이션 취약점을 말한다. 이 취약점은 공격자가 사용자의 권한을 이용하여 서버에 요청을 전송하기 때문에 서버는 요청의 전송자를 구분할 수 없다. 기존의 연구들은 웹 애플리케이션에 존재하는 CSRF 취약점을 방어하 는 방법을 제안하였으나, 아직까지 CSRF 공격을 완벽하게 방어하는 방법 은 없다. 즉, 웹 애플리케이션에 방어 메커니즘을 적용하였더라도 CSRF 공격이 성공할 가능성은 아직 존재한다. 따라서 기존의 CSRF 방어 기법 들을 보완하기 위한 대책이 필요하다. 이에 본 논문에서는 사용자의 최소한의 개입만으로 CSRF 취약점을 자동으로 탐지하는 방법을 제안한다. 제안한 방법은 CSRF 취약점을 탐지 하기 위해 전문 보안 지식을 요구하지 않기 때문에 보안 비전문가도 쉽게 취약점을 탐지할 수 있다. 취약점을 탐지하기 위해 웹 페이지의 URL을 수집하기 때문에 미처 수집하지 못한 URL이 존재할 수 있으나, 수집한 URL에서는 거짓 경보가 존재하지 않는다. 이 방법을 이용하여 실제 웹 애플리케이션들이 내포하고 있는 CSRF 취약점을 확인하였다.