Referer기반 웹 어플리케이션 권한관리 취약점 점검 방법
DC Field | Value | Language |
---|---|---|
dc.contributor.advisor | 곽진 | - |
dc.contributor.author | 이용장 | - |
dc.date.accessioned | 2019-10-21T07:31:17Z | - |
dc.date.available | 2019-10-21T07:31:17Z | - |
dc.date.issued | 2018-02 | - |
dc.identifier.other | 27055 | - |
dc.identifier.uri | https://dspace.ajou.ac.kr/handle/2018.oak/19135 | - |
dc.description | 학위논문(석사)--아주대학교 정보통신대학원 :사이버보안,2018. 2 | - |
dc.description.abstract | 권한관리 취약점으로 인하여 개인정보 유출 피해 사례가 증가하고 있다. 이는 개인정보 조회 등 관련된 기능에 있어서, 권한관리의 문제로 다른 사용자의 개인정보를 조회하거나 조회 범위 이상의 상세정보를 조회할 수 있는 경우에 발생한다. 이러한, 권한관리 취약점은 공격패턴을 가지고 있지 않고 정상 사용자의 HTTP요청/응답과 유사하게 동작하기 때문에 침입차단시스템, 침입탐지시스템 및 웹 방화벽에서 공격 차단이 불가능하다. 또한 취약점 탐지에 있어서 공격패턴을 가지고 있는 취약점의 경우에는 시그니쳐 기반의 취약점 자동 점검 도구를 활용하여 SQL Injection, Cross Site Scripting, CMD Injection, XPATH Injection 뿐만 아니라, File Download, File Upload등 취약점 패턴에 기반하여 분석할 수 있다. 하지만, 권한관리 취약점과 같은 논리적 판단이 필요한 취약점은 자동점검 도구에서 점검 및 분석이 제한적이며, 논리적 판단정책에 의거하여 취약점을 탐지하여야 한다. 이 연구에서는 RFC2616 표준의 HTTP 프로토콜 헤더 정보 Referer기반 웹 어플리케이션 권한관리 취약점을 탐지하는 기법을 제안한다. 이 기법에서는 복수 사용자 권한을 이용한 웹 요청에 대한 HTTP헤더의 Referer값에서 현재 요청에 대한 이전 웹 페이지의 참조 가능성을 판단하여 권한 관리가 취약한 URL을 찾는다. 이를 통하여 OWASP Broken Web Project를 통해 만들어진 취약한 웹 사이트를 파이썬으로 개발한 자동점검 도구로 취약점을 분석하여 권한관리 취약점을 탐지하였다. | - |
dc.description.tableofcontents | 제1장 서론 1 제1절 연구배경 및 목적 1 제2절 연구 범위 및 방법 3 제2장 관련연구 4 제1절 웹 어플리케이션 취약점 점검기준 4 제2절 취약점 점검방법 9 제1항 테스트 웹 어플리케이션 10 제2항 정적분석 도구 11 제3항 동적분석 도구 13 제3절 취약점 점검결과 15 제1항 Fortify SCA 점검결과 15 제2항 OWASP ZAP 점검결과 16 제3항 BurpSuite 점검결과 16 제4절 기존의 접근제어 취약점 도출방법 18 제1항 확장성 접근제어 생성언어 3.0(XACML 3.0)을 이용한 방법 18 제2항 소스코드 분석을 통한 방법 20 제3항 URL 접속 및 파라메터 조작에 의한 방법 21 제3장 Referer기반 웹 어플리케이션 권한관리 취약점 점검 방법 22 제1절 Referer 이란 22 제2절 취약점 분석원리 22 제4장 구현 및 검증 25 제1절 구현 25 제1항 Burpsuite을 이용한 URL 및 Referer 수집 25 제2항 다른 권한계정을 통한 서버응답(Response) 비교 29 제2절 검증 30 제1항 WackoPicko 점검결과 30 제2항 Bodgeit 점검결과 33 제3항 점검결과 비교표 35 제5장 결론 36 참고 문헌 38 | - |
dc.language.iso | kor | - |
dc.publisher | The Graduate School, Ajou University | - |
dc.rights | 아주대학교 논문은 저작권에 의해 보호받습니다. | - |
dc.title | Referer기반 웹 어플리케이션 권한관리 취약점 점검 방법 | - |
dc.type | Thesis | - |
dc.contributor.affiliation | 아주대학교 정보통신대학원 | - |
dc.contributor.department | 정보통신대학원 사이버보안 | - |
dc.date.awarded | 2018. 2 | - |
dc.description.degree | Master | - |
dc.identifier.localId | 800478 | - |
dc.identifier.url | http://dcoll.ajou.ac.kr:9080/dcollection/jsp/common/DcLoOrgPer.jsp?sItemId=000000027055 | - |
dc.subject.keyword | 보안 | - |
dc.subject.keyword | 취약점 | - |
dc.subject.keyword | 웹어플리케이션 | - |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.