DOI QR코드

DOI QR Code

크로스 사이트 스크립팅(XSS) 취약점에 대한 공격과 방어

Attacks and Defenses for Vulnerability of Cross Site Scripting

  • 투고 : 2014.12.10
  • 심사 : 2015.02.20
  • 발행 : 2015.02.28

초록

크로스사이트 스크립팅은 웹 애플리케이션의 취약점으로 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 비정상적인 기능을 자동으로 수행하게 하거나 할 수 있다. 크로스사이트 스크립팅(XSS) 공격유형은 한 번의 HTTP 요청과 응답에서 행해지는 XSS인 반사 XSS(reflect XSS)와 페이로드를 전송한 뒤 다수의 피해자가 해당 페이지에 접속하면 XSS 공격에 노출되는 저장 XSS(Stored XSS)로 나눌 수 있다. 그리고 크로스사이트 스크립팅 공격에 대한 방어로 사용자 입력하는 데이터에 대한 입력 값 검증, HTML 인코딩 과정에서의 출력 값에 대한 검증, 사용자가 악의적 코드를 웹 어플리케이션에 삽입하기 위한 시도를 막기 위해 위험 가능성 삽입지점 제거를 제시하였다. 본 논문에서는 이 두 가지 방법에 대한 공격방법과 절차를 제시하고 모의해킹을 수행하였다. 이를 통해 크로스사이트 스크립팅 공격에 대한 이해가 가능하고 대응책을 통해 공격에 대비할 수 있도록 하였다.

Cross Site Scripting enables hackers to steal other user's information (such as cookie, session etc.) or to do abnormal functions automatically using vulnerability of web application. This attack patterns of Cross Site Scripting(XSS) can be divided into two types. One is Reflect XSS which can be executed in one request for HTTP and its reply, and the other is Stored XSS which attacks those many victim users whoever access to the page which accepted the payload transmitted. To correspond to these XSS attacks, some measures have been suggested. They are data validation for user input, output validation during HTML encoding procedures, and removal of possible risk injection point to prevent from trying to insert malicious code into web application. In this paper, the methods and procedures for these two types are explained and a penetration testing is done. With these suggestions, the attack by XSS could be understood and prepared by its countermeasures.

키워드

참고문헌

  1. Ryan Barnett, "Full List of Incidents", Web Application Security Consortium. January 8, 2013.
  2. Brodkin, "The top 10 reasons Web sites get hacked", Network World (IDG), October 4, 2007
  3. Keun-Ho Lee, "Analysis of Threats Factor in IT Convergence Security", Journal of the Korea Convergence Society, , Vol. 1, No. 1, pp49-55, 2010
  4. Bo-Kyung Lee, "A Study on Security of Virtualization in Cloud Computing Environment for Convergence Services", Journal of the Korea Convergence Society, Vol. 5, No. 4, pp93-99, 2014 https://doi.org/10.15207/JKCS.2014.5.4.093
  5. http://www.gartner.com/newsroom/id/2867917
  6. https://www.owasp.org/index.php/About_OWASP
  7. https://www.owasp.org/index.php/Top10#OWASP_Top_10_for_2013
  8. Prateek Saxena, Dawn Song, and Yacin Nadji. "Document structure integrity: A robust basis for cross-site scripting defense.", In 16th Annual Network & Distributed System Security Symposium, San Diego, CA, USA, February 2009.
  9. N. Jovanovic, C. Kruegel, and E. Kirda., "Pixy: A static analysistool for detecting web application vulnerabilities (short paper)." In IEEE Symposium on Security and Privacy, 2006.
  10. Robert Auger, "Cross Site Scripting", Web Application Security Consortium. February 1, 2011.
  11. Symantec Corp, "Symantec Internet Security Threat Report: Trends for July-December 2007 (Executive Summary)" XIII. pp. 1-3. April 2008
  12. P. Saxena, D. Akhawe, S. Hanna, S. McCamant, F. Mao, and D. Song. A symbolic execution framework for JavaScript. In IEEE Symposium on Security and Privacy, 2010.
  13. Dafydd Stuttard, Marcus Pinto. The Web Applicaton Hacker's Handbook: Finding and Exploiting Security Flaws. Wade AIcorn. pp. 39-70, 431-497. 2011
  14. Yunkee Seong, "Cross Site Scripting(XSS) attacks and the defenses", Internet & SecurityFocsus, KISA, 2013. 11.
  15. SiChoon Noh, "tudy of Web Hacking Response Procedures Model based on Diagnosis Studies for Cross-Site Scripting (XSS)Process", Journal of Information and Security, vol 13, no 6, 2013. 12.