표제지
논문요약
목차
제1장 서론 9
제1절 연구주제 및 연구의 필요성 9
제2절 연구내용 및 연구방법 10
제2장 웹 애플리케이션 취약점 12
제1절 웹 애플리케이션 개요 12
제2절 OWASP TOP 10 12
제3절 크로스사이트 스크립팅 연구 15
1. 크로스사이트 스크립팅(XSS) 15
제3장 Yasca와 크로스 사이트 스크립팅(XSS) 18
제1절 Yasca 소개 18
제2절 Yasca가 크로스 사이트 스크립팅(XSS)를 분석하는 동작원리 연구 18
1. Yasca가 사용하는 크로스 사이트 스크립팅(XSS)의 검출 패턴 18
제4장 크로스 사이트 스크립팅(XSS) 문제를 해결하기 위한 연구 21
제1절 Yasca를 활용한 크로스 사이트 스크립팅(XSS) 분석 21
1. 대상 파일 21
2. Yasca를 실행하여 분석한 결과 22
제2절 addSecu 프로젝트 23
1. 크로스 사이트 스크립팅(XSS) 문제를 해결하기 위한 스크립트 고찰 23
2. addSecu 프로젝트 소개 23
3. 국내외 XSS방어 라이브러리 소개와 addSecu와의 비교 46
제5장 결론 48
참고문헌 49
Abstract 51
[표1] Java 시큐어코딩 가이드(코드예시) 11
[표2] OWASP Top 10 13
[표3] 크로스 사이트 스크립팅(XSS) 형태 16
[표4] addSecu.php가 실행된 전후 비교표 37
[표5] K-HOPES 전체소스 addSecu 적용 전후 결과 41
[표6] addSecu, Lucy, ESAPI 비교표 47
[그림1] 크로스 사이트 스크립팅(XSS) 공격 17
[그림2] Yasca 동작 과정 18
[그림3] [Yasca]/plugins/default/Injection.XSS.consolidated.JSP.php 19
[그림4] 병원정보시스템인 K-HOPES의 일부 파일 21
[그림5] 병원정보시스템인 K-HOPES 소스코드를 Yasca로 분석한 결과 22
[그림6] AntiXss.jar 파일의 내용 23
[그림7] AntiXss.java 파일의 소스 24
[그림8] addSecu의 개요(outline) 25
[그림9] addSecu.php의 다이어그램(diagram) 26
[그림10] addSecu.php 소스코드 36
[그림11] addSecu.php를 실행한 화면 37
[그림12] addSecu.php를 실행한 후, Yasca로 분석한 결과 41
[그림13] cli폴더의 addSecu를 적용한 후의 Yasca를 실행 한 결과 44
[그림14] cph폴더의 addSecu를 적용한 후의 Yasca를 실행 한 결과 44
[그림15] emr폴더의 addSecu를 적용한 후의 Yasca를 실행 한 결과 45
[그림16] fin폴더의 addSecu를 적용한 후의 Yasca를 실행 한 결과 45
[그림17] mis폴더의 addSecu를 적용한 후의 Yasca를 실행 한 결과 45
[그림18] pat폴더의 addSecu를 적용한 후의 Yasca를 실행 한 결과 45
[그림19] pop폴더의 addSecu를 적용한 후의 Yasca를 실행 한 결과 46