100 0

데이터 입력 지점의 유형 분류를 통한 크로스 사이트 스크립팅 취약점 방어

Title
데이터 입력 지점의 유형 분류를 통한 크로스 사이트 스크립팅 취약점 방어
Other Titles
Code-Level Defense Strategies Against Cross-Site Scripting Vulnerabilities Based on User Input Positions
Author
남경덕
Alternative Author(s)
Nam, Kyung Deok
Advisor(s)
도경구
Issue Date
2011-02
Publisher
한양대학교
Degree
Master
Abstract
OWASP에서 발표한 2010년 웹 어플리케이션 취약점 중 하나인 Cross Site Scripting(이하 'XSS') 결함은 어플리케이션이 신뢰할 수 없는 외부 입력 데이터를 적절한 확인이나 제한 없이 웹 브라우저에 보낼 때 발생 한다. XSS는 공격자가 피해자의 브라우저 내에서 스크립트를 실행하게 하여, 사용자의 세션을 탈취하거나, 웹 사이트를 변조하거나, 악의적인 사이트로 사용자를 리다이렉트할 수 있는 공격이다[1]. XSS은 가장 널리 알려진 웹 어플리케이션 취약점이며, 온라인 뱅킹 같은 인터넷에서 보안 중요도가 높은 어플리케이션을 포함해 대부분의 어플리케이션을 위협하고 있는 취약점이기도 하다. 기존의 연구들은 이러한 문제를 해결하기 위하여 스크립트 우회기법과 강제적인 스크립트 차단 방법을 통하여 필터링 하는 방법으로 XSS 공격을 무력화 하였다. 하지만 강제적인 XSS 필터 적용은 과 탐지로 인한 정상적인 웹 페이지가 출력 되지 않는 사례가 나타나고 있어서 완벽한 대응 밥법이라고 할 수 없다[2]. 이에 본 논문에서는 기존의 입력 값에 대한 강제적인 스크립트 차단 방법을 신뢰성과 안정성 측면에서 향상 시킬 수 있는 방안에 대해서 제안한다. 이를 위해 입력 값에 대한 입력 지점별 필터링 전략을 수립하고, 웹 서버에서는 입력 지점별 필터링 전략에 맞춰 강제적으로 차단해야하는 악성 스크립트 입력, 단순 출력을 위한 입력, 값으로 사용하기위한 입력에 대해서 구분하여 적절한 필터링 방안을 제시한다.
URI
https://repository.hanyang.ac.kr/handle/20.500.11754/139741http://hanyang.dcollection.net/common/orgView/200000416228
Appears in Collections:
GRADUATE SCHOOL[S](대학원) > COMPUTER SCIENCE & ENGINEERING(컴퓨터공학과) > Theses (Master)
Files in This Item:
There are no files associated with this item.
Export
RIS (EndNote)
XLS (Excel)
XML


qrcode

Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

BROWSE