Referer기반 웹 어플리케이션 권한관리 취약점 점검 방법
- 주제(키워드) 보안 , 취약점 , 웹어플리케이션
- 발행기관 아주대학교
- 지도교수 곽진
- 발행년도 2018
- 학위수여년월 2018. 2
- 학위명 석사
- 학과 및 전공 정보통신대학원 사이버보안
- 실제URI http://www.dcollection.net/handler/ajou/000000027055
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
권한관리 취약점으로 인하여 개인정보 유출 피해 사례가 증가하고 있다. 이는 개인정보 조회 등 관련된 기능에 있어서, 권한관리의 문제로 다른 사용자의 개인정보를 조회하거나 조회 범위 이상의 상세정보를 조회할 수 있는 경우에 발생한다. 이러한, 권한관리 취약점은 공격패턴을 가지고 있지 않고 정상 사용자의 HTTP요청/응답과 유사하게 동작하기 때문에 침입차단시스템, 침입탐지시스템 및 웹 방화벽에서 공격 차단이 불가능하다. 또한 취약점 탐지에 있어서 공격패턴을 가지고 있는 취약점의 경우에는 시그니쳐 기반의 취약점 자동 점검 도구를 활용하여 SQL Injection, Cross Site Scripting, CMD Injection, XPATH Injection 뿐만 아니라, File Download, File Upload등 취약점 패턴에 기반하여 분석할 수 있다. 하지만, 권한관리 취약점과 같은 논리적 판단이 필요한 취약점은 자동점검 도구에서 점검 및 분석이 제한적이며, 논리적 판단정책에 의거하여 취약점을 탐지하여야 한다. 이 연구에서는 RFC2616 표준의 HTTP 프로토콜 헤더 정보 Referer기반 웹 어플리케이션 권한관리 취약점을 탐지하는 기법을 제안한다. 이 기법에서는 복수 사용자 권한을 이용한 웹 요청에 대한 HTTP헤더의 Referer값에서 현재 요청에 대한 이전 웹 페이지의 참조 가능성을 판단하여 권한 관리가 취약한 URL을 찾는다. 이를 통하여 OWASP Broken Web Project를 통해 만들어진 취약한 웹 사이트를 파이썬으로 개발한 자동점검 도구로 취약점을 분석하여 권한관리 취약점을 탐지하였다.
more목차
제1장 서론 1
제1절 연구배경 및 목적 1
제2절 연구 범위 및 방법 3
제2장 관련연구 4
제1절 웹 어플리케이션 취약점 점검기준 4
제2절 취약점 점검방법 9
제1항 테스트 웹 어플리케이션 10
제2항 정적분석 도구 11
제3항 동적분석 도구 13
제3절 취약점 점검결과 15
제1항 Fortify SCA 점검결과 15
제2항 OWASP ZAP 점검결과 16
제3항 BurpSuite 점검결과 16
제4절 기존의 접근제어 취약점 도출방법 18
제1항 확장성 접근제어 생성언어 3.0(XACML 3.0)을 이용한 방법 18
제2항 소스코드 분석을 통한 방법 20
제3항 URL 접속 및 파라메터 조작에 의한 방법 21
제3장 Referer기반 웹 어플리케이션 권한관리 취약점 점검 방법 22
제1절 Referer 이란 22
제2절 취약점 분석원리 22
제4장 구현 및 검증 25
제1절 구현 25
제1항 Burpsuite을 이용한 URL 및 Referer 수집 25
제2항 다른 권한계정을 통한 서버응답(Response) 비교 29
제2절 검증 30
제1항 WackoPicko 점검결과 30
제2항 Bodgeit 점검결과 33
제3항 점검결과 비교표 35
제5장 결론 36
참고 문헌 38
