Yasca를 활용 한 크로스 사이트 스크립팅(XSS) 예방 기법에 관한 연구
A Study on The method of Prevention of Cross-site Scripting (XSS) by Using The Yasca
- 주제(키워드) Yasca , 크로스 사이트 스크립팅 , XSS , 보안
- 발행기관 아주대학교
- 지도교수 김재훈
- 발행년도 2018
- 학위수여년월 2018. 8
- 학위명 석사
- 학과 및 전공 정보통신대학원 사이버보안
- 실제URI http://www.dcollection.net/handler/ajou/000000027830
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
인터넷이 주는 편리함의 순기능의 이면에는 해킹에 의한 프라이버시 침해, 개인정보 유출 등의 사이버 보안 위협이 내재되어 있다. 미국의 정보 기술 연구 및 자문 회사인 Gartner의 웹 해킹 침해 보고서에 따르면 해킹사고의 원인 대부분(75%)은 어플리케이션 보안 약점을 악용한 것으로 보고 되었다. 국내에서도 연달아 발생 한 해킹사고가 어플리케이션 보안 약점을 악용한 사례이다. 정부는 지난 2012년 전자정부 시스템에 대한 사이버 공격이 일어나면서 시큐어코딩 도입을 전 공공기관에 의무화했다. 2014년에는 20억원 이상 공공기관 IT 사업에 시큐어코딩을 적용해야 하며 2015년부터는 모든 공공기관 전자정부 사업에 시큐어코딩이 의무 적용된다. 안타깝게도, 2000년도 초반에 설계되어 개발된 시스템은 시큐어코딩이 적용되지 않았고, 아직도 사용되고 있다. 그중에서도, OWASP 가 분석한 웹 어플리케이션 10대 취약점에서 상위에 랭크 되어 있는 XSS(Cross Site Scripting) 공격은 손쉽게 취약점을 공격할 수 있고, 취약점이 노출 된다면 큰 피해를 입게 될 것이다. XSS에 대응하기 위한 시큐어코딩을 적용하려면 아래와 같이 해야 한다. 첫번째로, 어느 부분에서 문제가 발생하는지를 찾아서 리스트업 해야 할 것이다. 즉, 검색(Searching)이 필요하다. 두번째로, 시큐어코딩의 적용에 관한 문제가 있다. 현실적으로 부족한 자원으로 인하여 원활한 서비스와 동시에 시큐어코딩을 적용하기가 어렵다. 결국은 비용의 문제가 될 것이다. 첫번째 문제는 공개소프트웨어(OSS, Open Source Software)인 Yasca(version2.2)를 통하여 리스트업을 하여 문제를 해결하고, 두번째는 연구한 방법을 통하여 문제의 소지가 있는 소스를 수정하여 가능한 한 빠르게 시큐어코딩을 적용할 수 있도록 할 것이다. 왜냐하면, 공개소프트웨어인 Yasca는 문제가 발생한 곳을 찾아주고, 리포트만을 해 줍니다. 가장 중요한, 문제를 해결 해 주지 않는 것이 Yasca의 아쉬운 부분이라고 할 수 있다. 본 논문에서는, XSS(Cross Site Scripting)에 대하여 Yasca를 통한 리스트 업과 저자가 연구한 방법 통한 시큐어 코딩을 적용할 수 있도록 하는 데 연구 목적이 있다.
more목차
제 1장 서 론
제 1절 연구주제 및 연구의 필요성
제 2절 연구내용 및 연구방법
제 2장 웹 애플리케이션 취약점
제 1절 웹 애플리션 개요
제 2절 OWASP TOP 10
제 3절 크로스 사이트 스크립팅(XSS) 연구
제 3장 Yasca와 크로스 사이트 스크립팅(XSS)
제 1절 Yasca 소개
제 2절 Yasca가 크로스 사이트 스크립팅(XSS)를 분석하는 동작원리 연구
제 4장 크로스 사이트 스크립팅(XSS) 문제를 해결하기 위한 연구
제 1절 Yasca를 활용한 크로스 사이트 스크립팅(XSS) 분석
제 2절 addSecu 프로젝트
제 5장 결 론
참고문헌
Abstract
