A Method for Preventing CSRF Attacks in Web Application using Digital Signature Token

전자서명 토큰을 이용한 웹 애플리케이션에서의 CSRF공격 방어 기법

  • 이대섭 (숭실대학교 일반대학원 컴퓨터학과) ;
  • 김효종 (숭실대학교 일반대학원 컴퓨터학과) ;
  • 전문석 (숭실대학교 일반대학원 컴퓨터학과)
  • Published : 2010.11.12

Abstract

웹 애플리케이션 해킹 방법인 CSRF(Cross Site Request Forgery) 공격은 2008년 2월에 온라인 경매사이트인 옥션에서의 1800만명의 개인정보를 유출 사고 피해를 입힌 공격이다. OWASP(Open Web Application Security Project)에서는 이 공격의 해결방안으로 동기화되고 고유한 토큰 값을 생성하여 페이지 요청 시에 이를 검증하는 시스템을 권고하고 있다. 따라서 본 논문에서는 이 공격을 방어하기 위한 방법으로 타임스탬프와 사용자 고유의 값인 전자서명을 토큰형태로 생성하여 Hidden Field에 삽입함으로써 검증하는 기법에 대해 연구하고자 한다.

Keywords