표제지
논문개요
목차
제1장 서론 10
제1절 연구의 배경 10
제2절 연구의 목표 12
제2장 관련연구 14
제1절 웹 어플리케이션 보안성강화 기법 14
제2절 기반 기술 20
제3장 웹 어플리케이션의 보안취약점 25
3.1. OWASP 10대 보안취약점 25
3.2. 인증 및 세션관리의 보안취약점을 이용한 공격 유형 27
3.2. 제 3장에 대한 요약 31
제4장 웹 스토리지 AGENT 서비스의 설계 및 구현 32
제1절 구축 방안 32
제2절 서비스 설계 34
제3절 서비스 구현 및 검토 41
제5장 실험 및 결과 54
제1절 모의해킹 실험 54
제2절 클라이언트/서버 응답속도 65
제3절 결과 및 분석 72
제6장 결론 83
참고문헌 84
부록 87
Summary 89
〈표 2-1〉 기존 연구의 한계 18
〈표 2-2〉 웹 스토리지 API 23
〈표 2-3〉 쿠키와 웹 스토리지 비교 24
〈표 3-1〉 OWASP 10대 보안취약점 25
〈표 4-1〉 설계 및 구현 범위 40
〈표 4-2〉 웹 스토리지 AGENT 도메인 구성 41
〈표 5-1〉 실험 환경 54
〈표 5-2〉 모의해킹 취약점 진단항목 56
〈표 5-3〉 영향도 평가 기준 57
〈표 5-4〉 웹 스토리지 AGENT 서비스 구동 전, 후 평균 응답시간 67
〈표 5-5〉 http Session, https Session과 wsSession 비교 77
〈표 5-6〉 보안성 강화 평가기준 78
〈표 5-7〉 보안성 영향도 평가 진단결과 80
〈표 5-8〉 기밀성, 무결성, 가용성 평가 81
〈그림 2-1〉 WSDL의 서비스 방법 21
〈그림 2-2〉 해시 알고리즘의 종류 및 특징 22
〈그림 3-1〉 토큰 세션을 조작하여 웹 서버를 공격하는 세션 하이재킹 28
〈그림 3-2〉 부적절한 인가 29
〈그림 3-3〉 적절한 인증 없는 중요기능 허용 30
〈그림 3-4〉 크로스사이트 스크립트 31
〈그림 4-1〉 웹 스토리지 AGENT 서비스 구축 방안 33
〈그림 4-2〉 웹 스토리지 AGENT 서비스 아키텍처 34
〈그림 4-3〉 웹 스토리지 AGENT 서비스 구성도 36
〈그림 4-4〉 웹 스토리지 AGENT 서비스 동작방식 38
〈그림 4-5〉 wsSession ID의 흐름도 39
〈그림 4-6〉 WSDL 문서의 웹 서비스 42
〈그림 4-7〉 웹 스토리지 AGENT소스 코드 43
〈그림 4-8〉 SHA-512 알고리즘을 이용한 wsSession 생성 44
〈그림 4-9〉 SHA-512 암호화 알고리즘 소스코드 45
〈그림 4-10〉 웹 스토리지 컨트롤러 wsSession 검증 코드 47
〈그림 4-11〉 웹 스토리지 컨트롤러 XSS필터 소스코드 48
〈그림 4-12〉 웹 스토리지 AGNET 서비스 Request 소스코드 50
〈그림 4-13〉 웹 스토리지 AGNET 서비스 Response 소스코드 51
〈그림 4-14〉 세션 스토리지 현재 6초 화면 52
〈그림 4-15〉 세션 스토리지 현재 16초 화면 52
〈그림 4-16〉 세션 스토리지 현재 26초 화면 52
〈그림 4-17〉 세션 스토리지 현재 36초 화면 52
〈그림 5-1〉 세션 하이재킹 예시 55
〈그림 5-2〉 웹 프록시 툴 Paros 3.0 58
〈그림 5-3〉 웹 스토리지 AGENT 구동을 위한 SMS인증 59
〈그림 5-4〉 HTML5 세션 스토리지 wsSession 값 저장 60
〈그림 5-5〉 사용자 결제하기 화면 60
〈그림 5-6〉 Paros3.0 결제 패킷 전송화면 61
〈그림 5-7〉 Paros3.0 패킷 응답화면 61
〈그림 5-8〉 웹 서버 URL 우회 공격 62
〈그림 5-9〉 WebAgentContoller.JSON 파일 다운로드 63
〈그림 5-10〉 액세스 거부 JSON파일 63
〈그림 5-11〉 Paros3.0 액세스 거부 응답 메시지 64
〈그림 5-12〉 웹 스토리지 AGENT 서비스 구동 전 65
〈그림 5-13〉 웹 스토리지 AGENT 서비스 구동 후 66
〈그림 5-14〉 클라이언트와 AGENT간의 응답시간 66
〈그림 5-15〉 2초 간격으로 30개의 패킷 요청 후 응답시간 69
〈그림 5-16〉 2초 간격으로 50개의 패킷 요청 후 응답시간 69
〈그림 5-17〉 4초 간격으로 30개의 패킷 요청 후 응답시간 70
〈그림 5-18〉 4초 간격으로 50개의 패킷 요청 후 응답시간 70
〈그림 5-19〉 6초 간격으로 30개의 패킷 요청 후 응답시간 71
〈그림 5-20〉 6초 간격으로 50개의 패킷 요청 후 응답시간 71
〈그림 5-21〉AGNET서비스 구동 전, 구동 후, 웹 서비스의 응답시간 합계 및 평균 73
〈그림 5-22〉 서버와 클라이언트 응답시간 합계 및 평균 74
〈그림 5-23〉 30개 패킷 요청 후 평균응답시간 75
〈그림 5-24〉 50개 패킷 요청 후 평균응답시간 75
〈그림 5-25〉 클라이언트/서버 메시지 인증 과정 76