표제지
목차
약어표 9
논문요약 10
제1장 서론 11
제2장 관련 기술 13
제1절 스프링 프레임워크 13
제2절 HTTP 통신 16
제3절 Paros Proxy 21
제4절 HTTP Session 24
제3장 HTTP Trapping 공격패턴 분석 27
제1절 고유 식별정보 변조를 통한 공격 27
1. 사용자 식별정보 변조 공격 27
2. 시퀀스정보 변조 공격 29
제2절 폼 데이터 변조를 통한 브라우저 스크립트 우회 공격 30
1. 단일 데이터 우회 30
2. 그룹 데이터 우회 31
제4장 대응모델 설계 및 구현 32
제1절 Session을 이용한 고유 식별정보 보안 및 구현 32
1. HTTP Session을 이용한 보안 및 구현 32
2. @SessionAttributes를 이용한 보안 및 구현 33
3. Controller내에서의 권한 재확인 36
제2절 Spring Commons Validator를 이용한 폼 데이터 보안 및 구현 38
제3절 Controller 내에서의 그룹 데이터 보안 및 구현 42
제4절 대응방안의 적절성 및 보안효과 분석 44
제5장 결론 47
참고문헌 49
ABSTRACT 51
[표 2-1] 클라이언트 요청 종류 17
[표 2-2] 일반적인 요청 헤더 18
[표 2-3] 일반적인 응답 헤더 19
[표 2-4] HTTP 응답코드표 20
[표 2-5] 쿠키설정 응답헤더 24
[표 2-6] 클라이언트와 서버간의 session 생성과정 25
[표 4-1] Session에 데이터를 set/get하는 소스 32
[표 4-2] @SessionAttributes 설정 34
[표 4-3] @SessionAttributes 데이터 선언 35
[표 4-4] Session 데이터 바인딩 및 사용과 제거 35
[표 4-5] Request된 게시물의 권한을 재확인하는 소스 37
[표 4-6] DefaultValidatorFatory Bean 정의 38
[표 4-7] Validator-rules.xml 설정파일 39
[표 4-8] Validation 처리 설정파일 40
[표 4-9] Controller내 validation 처리 41
[표 4-10] Controller내 그룹데이터 유효성 검증 43
[표 4-11] 대응모델 적용 및 보안효과 44
[그림 2-1] 스프링 프레임워크 구성모듈 14
[그림 2-2] 클라이언트에서 스프링 컨테이너로의 처리과정 15
[그림 2-3] 스프링 컨테이너에서 클라이언트로의 처리과정 16
[그림 2-4] HTTP 동작 방식 16
[그림 2-5] Paros Proxy 동작 개념도 21
[그림 3-1] 고유 식별정보 변조 공격 27
[그림 3-2] K모 통신사 개인정보유출 해킹사고 4단계 28
[그림 3-3] 클라이언트 validation 우회 30
[그림 4-1] 대응방안을 적용한 구성도 45