크롤링을 이용한 웹 애플리케이션의 접근 제어 취약점 자동 탐지
- Title
- 크롤링을 이용한 웹 애플리케이션의 접근 제어 취약점 자동 탐지
- Other Titles
- Crawling-based Automatic Detection of Access Control Vulnerabilities in Web Applications
- Author
- 송호길
- Alternative Author(s)
- Song, Ho-Gil
- Advisor(s)
- 도경구
- Issue Date
- 2012-02
- Publisher
- 한양대학교
- Degree
- Master
- Abstract
- 웹 애플리케이션의 접근 제어 취약점은 웹 애플리케이션의 설계 과정 에서 정책을 바르게 설정하지 않았거나 개발자가 정책에 맞게 구현하지 않아 발생한다. 공격자는 접근 제어가 되지 않는 웹 애플리케이션의 관리 자 권한을 얻거나 다른 사용자의 민감한 정보를 얻을 수 있다.
이 연구에서는 웹 애플리케이션이 클라이언트 측에서 접근 제어 취 약점을 자동으로 탐지하는 기법을 제안한다. 먼저 한 사용자의 권한으로 크롤링하여 수집한 페이지와 다른 사용자의 권한으로 수집한 페이지를 비교하여 차집합을 구한다. 차집합 페이지를 다른 사용자의 권한으로 요 청하고 응답을 비교하여 접근제어가 취약한 페이지를 찾는다.
제안한 기법은 애플리케이션의 접근 제어 정책이나 서버의 소스 코드 를 확인하지 않아도 취약점을 탐지할 수 있다. 또한 정적분석으로 탐지 하기 힘든 실제 애플리케이션이 동적으로 생성하는 페이지에서 일어나는 권한 확장을 확인할 수 있다. 취약점을 탐지할 때에 크롤링을 이용하여 페이지를 수집하기 때문에 수집하지 못하는 페이지가 있을 수 있으나 수 집한 페이지에서는 거짓 경보가 존재하지 않는다. 이 기법을 이용하여 실제 웹 애플리케이션들에서 접근 제어 취약점을 확인하였다.
- URI
- https://repository.hanyang.ac.kr/handle/20.500.11754/137144http://hanyang.dcollection.net/common/orgView/200000419478
- Appears in Collections:
- GRADUATE SCHOOL[S](대학원) > COMPUTER SCIENCE & ENGINEERING(컴퓨터공학과) > Theses (Master)
- Files in This Item:
There are no files associated with this item.
- Export
- RIS (EndNote)
- XLS (Excel)
- XML