Earticle

Home

크로스 사이트 스크립팅(XSS) 취약점에 대한 공격과 방어
Attacks and Defenses for Vulnerability of Cross Site Scripting

첫 페이지 보기

※ 기관로그인 시 무료 이용이 가능합니다.

4,000원

원문정보

초록

영어
Cross Site Scripting enables hackers to steal other user's information (such as cookie, session etc.) or to do abnormal functions automatically using vulnerability of web application. This attack patterns of Cross Site Scripting(XSS) can be divided into two types. One is Reflect XSS which can be executed in one request for HTTP and its reply, and the other is Stored XSS which attacks those many victim users whoever access to the page which accepted the payload transmitted. To correspond to these XSS attacks, some measures have been suggested. They are data validation for user input, output validation during HTML encoding procedures, and removal of possible risk injection point to prevent from trying to insert malicious code into web application. In this paper, the methods and procedures for these two types are explained and a penetration testing is done. With these suggestions, the attack by XSS could be understood and prepared by its countermeasures.
한국어
크로스사이트 스크립팅은 웹 애플리케이션의 취약점으로 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 비정 상적인 기능을 자동으로 수행하게 하거나 할 수 있다. 크로스사이트 스크립팅(XSS) 공격유형은 한 번의 HTTP 요청 과 응답에서 행해지는 XSS인 반사 XSS(reflect XSS)와 페이로드를 전송한 뒤 다수의 피해자가 해당 페이지에 접속 하면 XSS 공격에 노출되는 저장 XSS(Stored XSS)로 나눌 수 있다. 그리고 크로스사이트 스크립팅 공격에 대한 방어 로 사용자 입력하는 데이터에 대한 입력 값 검증, HTML 인코딩 과정에서의 출력 값에 대한 검증, 사용자가 악의적 코드를 웹 어플리케이션에 삽입하기 위한 시도를 막기 위해 위험 가능성 삽입지점 제거를 제시하였다. 본 논문에서 는 이 두 가지 방법에 대한 공격방법과 절차를 제시하고 모의해킹을 수행하였다. 이를 통해 크로스사이트 스크립팅 공격에 대한 이해가 가능하고 대응책을 통해 공격에 대비할 수 있도록 하였다.

목차

요약
 Abstract
 1. 서론
 2. 크로스사이트 스크립팅(XSS) 공격
  2.1 공격유형
 3. XSS 공격 사례
  3.1 반사 XSS에서의 공격
  3.2 저장 XSS에서의 공격
 4. 크로스사이트 스크립팅(XSS) 방어
  4.1 입력 값 검증
  4.2 출력 값 검증
  4.3 위험 가능성 삽입 지점 제거
 5. 결론
 ACKNOWLEDGMENTS
 REFERENCES

저자

  • 최은정 [ Eun-Jung Choi | 서울여자대학교 정보보호학과 ] Corresponding Author
  • 정휘찬 [ Whi-Chan Jung | 폴 수학학교 ]
  • 김승엽 [ Seung-Yeop Kim | 폴 수학학교 ]

참고문헌

자료제공 : 네이버학술정보

간행물 정보

발행기관

  • 발행기관명
    한국디지털정책학회 [The Society of Digital Policy & Management]
  • 설립연도
    2003
  • 분야
    사회과학>정책학
  • 소개
    디지털기술 및 산업정책, 디지털경제, 관련 산업의 연구, 전자정부, 디지털정치에 관한 제도적, 정책적 연구, 디지털경영, 전자상거래, e-비즈니스에 관한 실용적 연구, 학술연구지 발간 및 학술대회 개최 등을 통하여 디지털경제 및 디지털경영에 관련되는 국가정책 분야의 연구 및 교류를 촉진하고 국가 및 기업 정보화와 디지털산업의 발전에 공헌한다.

간행물

  • 간행물명
    디지털융복합연구 [Journal of Digital Convergence]
  • 간기
    월간
  • ISSN
    1738-1916
  • 수록기간
    2003~2019
  • 등재여부
    KCI 등재
  • 십진분류
    KDC 326.41 DDC 384.5

이 권호 내 다른 논문 / 디지털융복합연구 제13권 제2호

    피인용수 : 0(자료제공 : 네이버학술정보)

    페이지 저장