Abstract
An URL parameter can hold some information that is confidential or vulnerable to illegitimate tampering. We propose Link-E-Param(Link with Encrypted Parameters) to protect the whole URL parameter names as well as their values. Unlike other techniques concealing only some of the URL parameters, it will successfully discourage attacks based on URL analysis to steal secret information on the Web sites. We implement Link-E-Param in the form of a servlet filter to be deployed on any Java Web server by simply copying a jar file and setting a few configuration values. Thus it can be used for any existing Web application without modifying the application. It also supports numerous encryption algorithms to choose from. Experiments show that our implementation induces only 2~3% increase in user response time due to encryption and decryption, which is deemed acceptable.
URL 파라미터는 민감한 정보나 제공된 링크에서 임의로 변경하면 보안 위험이 발생하는 것을 포함할 수 있다. 본 논문에서는 전체 URL 파라미터들의 이름과 값을 동시에 암호화하는 Link-E-Param(Link with Encrypted Parameters) 기법을 제안한다. 이 기법은 기존의 일부 URL 파라미터를 감추는 방식과 달리, 공격자에 의한 악의적 URL 파라미터 분석을 근원적으로 불가능하게 함으로써 URL 분석에 기반 하여 웹 사이트로부터 정보를 빼내려는 시도를 막는 역할을 한다. 제안 기법은 서블릿 필터 형태로 구현되기 때문에 서버에 jar파일 설치 후 설정 파일을 작성하기만 하면 기존 프로그램을 수정할 필요 없이 적용이 가능하다. Link-E-Param에서는 다양한 암호화 알고리즘이 지원되도록 구현하였다. 구현된 필터를 적용하여 실험한 결과, 암호화 및 복호화로 인해 사용자가 느끼는 응답 시간의 증가가 수용 가능한 수준이라 볼 수 있는 2~3% 에 불과함을 보인다.
