국립중앙도서관 "우편 복사 서비스"로 연결 됩니다.
다양한 프로그램이 등장하며 개발 단계에서의 오류로 인한 취약점이 문제가 되는 경우가 많아지고 있다. 이때, 다계층 프로그래밍 언어(Multi-tier programming language)라고 하는 시스템의 다른 계...
다국어 입력
あ
ぁ
か
が
さ
ざ
た
だ
な
は
ば
ぱ
ま
や
ゃ
ら
わ
ゎ
ん
い
ぃ
き
ぎ
し
じ
ち
ぢ
に
ひ
び
ぴ
み
り
う
ぅ
く
ぐ
す
ず
つ
づ
っ
ぬ
ふ
ぶ
ぷ
む
ゆ
ゅ
る
え
ぇ
け
げ
せ
ぜ
て
で
ね
へ
べ
ぺ
め
れ
お
ぉ
こ
ご
そ
ぞ
と
ど
の
ほ
ぼ
ぽ
も
よ
ょ
ろ
を
ア
ァ
カ
サ
ザ
タ
ダ
ナ
ハ
バ
パ
マ
ヤ
ャ
ラ
ワ
ヮ
ン
イ
ィ
キ
ギ
シ
ジ
チ
ヂ
ニ
ヒ
ビ
ピ
ミ
リ
ウ
ゥ
ク
グ
ス
ズ
ツ
ヅ
ッ
ヌ
フ
ブ
プ
ム
ユ
ュ
ル
エ
ェ
ケ
ゲ
セ
ゼ
テ
デ
ヘ
ベ
ペ
メ
レ
オ
ォ
コ
ゴ
ソ
ゾ
ト
ド
ノ
ホ
ボ
ポ
モ
ヨ
ョ
ロ
ヲ
―
http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
예시)
- 中文 을 입력하시려면 zhongwen을 입력하시고 space를누르시면됩니다.
- 北京 을 입력하시려면 beijing을 입력하시고 space를 누르시면 됩니다.
А
Б
В
Г
Д
Е
Ё
Ж
З
И
Й
К
Л
М
Н
О
П
Р
С
Т
У
Ф
Х
Ц
Ч
Ш
Щ
Ъ
Ы
Ь
Э
Ю
Я
а
б
в
г
д
е
ё
ж
з
и
й
к
л
м
н
о
п
р
с
т
у
ф
х
ц
ч
ш
щ
ъ
ы
ь
э
ю
я
′
″
℃
Å
¢
£
¥
¤
℉
‰
$
%
F
₩
㎕
㎖
㎗
ℓ
㎘
㏄
㎣
㎤
㎥
㎦
㎙
㎚
㎛
㎜
㎝
㎞
㎟
㎠
㎡
㎢
㏊
㎍
㎎
㎏
㏏
㎈
㎉
㏈
㎧
㎨
㎰
㎱
㎲
㎳
㎴
㎵
㎶
㎷
㎸
㎹
㎀
㎁
㎂
㎃
㎄
㎺
㎻
㎽
㎾
㎿
㎐
㎑
㎒
㎓
㎔
Ω
㏀
㏁
㎊
㎋
㎌
㏖
㏅
㎭
㎮
㎯
㏛
㎩
㎪
㎫
㎬
㏝
㏐
㏓
㏃
㏉
㏜
㏆
RISS 인기검색어
부가정보
국문 초록 (Abstract)
다양한 프로그램이 등장하며 개발 단계에서의 오류로 인한 취약점이 문제가 되는 경우가 많아지고 있다. 이때, 다계층 프로그래밍 언어(Multi-tier programming language)라고 하는 시스템의 다른 계층과 관련된 구성 요소를 같은 컴파일 단위로 혼합하여 분산 시스템 개발에서 오류가 발생하기 쉬운 단점을 개선하고 계층 간 복잡한 소통 과정을 개선해 보안을 강화하는 장점을 가진 다계층 프로그래밍 언어로 작성된 프로그램에 대한 웹 취약점 분석이 아직 이루어지지 않았다.
본 논문에서는 처음으로 다계층 프로그래밍 언어의 웹 취약점을 다계층 프로그래밍 언어의 한 종류인 Links를 통해 분석하였고, 그 결과 Links가 갖는 특징들이 웹 취약점을 방어하는 데 도움을 주는 것을 확인하였다. IDOR, SQL Injection, XSS 세 종류의 웹 취약점을 통해 실험을 진행하여 런타임 시스템에서의 SSL 프로토콜 사용으로 IDOR 취약점을 방어할 수 있었고, 프로그래밍 언어 기반 인젝션 방어 기법을 통해 기존 라이브러리 기반의 인젝션 방어 기법의 단점을 개선할 수 있을 것이다.
다국어 초록 (Multilingual Abstract)
These days, various programs appear, and vulnerabilities caused by errors in the development stage are often a problem. Multi-tier programming language is a language that improves error-prone disadvantages in distributed system development by mixing c...
These days, various programs appear, and vulnerabilities caused by errors in the development stage are often a problem. Multi-tier programming language is a language that improves error-prone disadvantages in distributed system development by mixing components related to different tiers of a system into the same compilation unit and enhances security by improving complex communication processes between layers. However, no web vulnerability analysis has been conducted on programs written in this multi-tier programming language yet.
In this paper, for the first time, the web vulnerability of a multi-tier programming language was analyzed through Links, a type of multi-tier programming language, and as a result, it was confirmed that the features of Links help defend against web vulnerabilities. By experimenting with three types of web vulnerabilities, IDOR, SQL Injection, and XSS, the use of SSL protocols in runtime systems could defend against IDOR vulnerabilities, and programming language-based Injection defense methods could improve the disadvantages of existing library-based Injection defense methods.
목차 (Table of Contents)
- 목차 ⅰ
- 그림 목차 ⅳ
- 표 목차 ⅴ
- 국문 초록 ⅷ
- 1. 서론 1
- 목차 ⅰ
- 그림 목차 ⅳ
- 표 목차 ⅴ
- 국문 초록 ⅷ
- 1. 서론 1
- 2. 관련 연구 3
- 2.1. OWASP TOP10 주요 웹 애플리케이션 취약점 3
- 2.1.1. IDOR (Insecure Direct Object Reference) 3
- 2.1.2. SQL Injection 5
- 2.1.2.1. 인증 우회 공격 8
- 2.1.2.2. 데이터 조회 공격 9
- 2.1.2.3. 시스템 명령어 실행 공격 13
- 2.1.2.4. SQL Injection 공격의 방어 15
- 2.1.3. XSS (Cross-Site Script) 19
- 2.1.3.1. Stored XSS 21
- 2.1.3.2. Reflected XSS 22
- 2.1.3.3. DOM-Based XSS 25
- 2.1.3.4. XSS 공격의 방어 27
- 2.2. Links 29
- 2.2.1. Client/Server 함수 35
- 2.2.2. 데이터베이스 LINQ (Language-INtegrated Query) 37
- 2.2.3. XML 41
- 2.2.4. Static Type-Checking 45
- 2.2.5. 그 외의 다계층 프로그래밍 언어 46
- 2.3. 연구 동기 47
- 3. Links 기반 다계층 웹 프로그램의 취약점 분석 48
- 3.1. IDOR (Insecure Direct Object Reference) 48
- 3.2. SQL Injection 52
- 3.2.1. SQL Injection 무결성 52
- 3.2.2. SQL Injection 종류별 공격 결과 54
- 3.2.2.1. Bypass SQL Injection 56
- 3.2.2.2. Error-Based SQL Injection 58
- 3.2.2.3. Union-Based SQL Injection 59
- 3.2.2.4. Content-Based Blind SQL Injection 59
- 3.2.2.5. Time-Based Blind SQL Injection 60
- 3.2.3. SQL Injection 검증 61
- 3.2.3.1. SQL 모델링 61
- 3.2.3.2. SQL Injection 무결성에 관한 정의 63
- 3.2.3.3. Injection 무결성에 관한 정리 65
- 3.2.3.4. 트리 구조의 SQL 쿼리와 작은따옴표를 특수하게 문자열로 처리하는 데이터베이스 프로그래밍 언어 66
- 3.2.3.5. 인젝션이 없음이라는 성질을 검증 67
- 3.3. XSS (Cross-Site Scripting) 72
- 3.3.1. 개요 72
- 3.3.2. 정적 스크립트 태그 (프로그램 내부 <script> 유) 74
- 3.3.3. 동적 스크립트 태그 (프로그램 내부 <script> 무) 78
- 4. 논의 82
- 5. 결론 및 향후 연구 83
- 참고문헌 85
- 영문 초록 91
- 부록 A. 구현 상세사항 92
- 가. 컴퓨팅 환경 93
- 나. Postgresql 설치 및 설정 93
- 다. Install opam 94
- 라. Install links 94
- 마. Links의 SSL 설정 95
- 바. DVWA 설치 96
- 사. Apache2 서버의 로그 기록 확인 98
- 아. Postgresql database 동작 확인 후 필요 내용 추가 98
- 부록 B. 파서 100
분석정보
연관 공개강의(KOCW)
이 자료와 함께 이용한 RISS 자료
나만을 위한 추천자료
