표제지
논문요약
목차
제1장 서론 8
제1절 연구배경 및 목적 8
제2절 연구 범위 및 방법 10
제2장 관련연구 11
제1절 웹 어플리케이션 취약점 점검기준 11
제2절 취약점 점검방법 16
제1항 테스트 웹 어플리케이션 17
제2항 정적분석 도구 18
제3항 동적분석 도구 20
제3절 취약점 점검결과 22
제1항 Fortify SCA 점검결과 22
제2항 OWASP ZAP 점검결과 23
제3항 BurpSuite 점검결과 23
제4절 기존의 접근제어 취약점 도출방법 25
제1항 확장성 접근제어 생성언어 3.0(XACML 3.0)을 이용한 방법 25
제2항 소스코드 분석을 통한 방법 27
제3항 URL 접속 및 파라메터 조작에 의한 방법 28
제3장 Referer 기반 웹 어플리케이션 권한관리 취약점 점검 방법 29
제1절 Referer 이란 29
제2절 취약점 분석원리 29
제4장 구현 및 검증 32
제1절 구현 32
제1항 Burpsuite 을 이용한 URL 및 Referer 수집 32
제2항 다른 권한계정을 통한 서버응답(Response) 비교 36
제2절 검증 37
제1항 WackoPicko 점검결과 37
제2항 Bodgeit 점검결과 40
제3항 점검결과 비교표 42
제5장 결론 43
참고문헌 45
[표 1] OWASP Top 10 2004년부터 2013년 선정 12
[표 2] 행정안전부 주요정보통신기반시설 취약점 분석기준 웹 어플리케이션 항목 16
[표 3] PCI DSS의 취약점 스캔과 모의해킹 비교 17
[표 4] 소스코드 보안 취약점 분석도구 비교표 20
[표 5] OWASP에서 정의한 동적점검도구 비교표 22
[표 6] 취약점 점검환경 22
[표 7] Fortify 점검결과 22
[표 8] OWASP ZAP 점검결과 23
[표 9] BurpSuite 점검결과 24
[표 10] WackoPicko 계정 및 권한분류 표 32
[표 11] WackoPicko 점검결과(Guest권한비교) 37
[표 12] WackoPicko 점검결과(사용자 권한비교) 38
[표 13] Bodgeit 점검결과(Guest 권한비교) 41
[그림 1] 2014년 3월 KT홈페이지 해킹 흐름도 8
[그림 2] XACML 흐름도 27
[그림 3] 불충분한 접근제어 정책 적용 사례 28
[그림 4] Referer 사례 29
[그림 5] 웹 어플리케이션 화면이동 흐름도 30
[그림 6] 권한별 웹 어플리케이션 화면이동 흐름도 31
[그림 7] Burpsuite를 통한 로그 수집 33
[그림 8] Burpsuite로그의 XML 구조 34
[그림 9] Burpsuite로그의 XML 파싱 함수 34
[그림 10] WackoPicko의 XML 파싱결과를 분석서버에 저장한 결과화면 35
[그림 11] URL 검증을 위한 Python 소스코드 36
[그림 12] scanner1/scanner2의 Referer 접속결과 39
[그림 13] scanner1/scanner2의 취약한 URL 접속결과 39
[그림 14] Bodgeit의 XML 파싱결과를 분석서버에 저장한 결과화면 40
[그림 15] guest권한으로 password.jsp URL접속결과 41