크로스사이트 스크립팅은 웹 애플리케이션의 취약점으로 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 비정상적인 기능을 자동으로 수행하게 하거나 할 수 있다. 크로스사이트 스크립팅(XSS)...
http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
https://www.riss.kr/link?id=A101187049
최은정 (서울여자대학교) ; 정휘찬 (폴 수학학교) ; 김승엽 (폴 수학학교) ; Choi, Eun-Jung ; Jung, Whi-Chan ; Kim, Seung-Yeop
2015
Korean
크로스 사이트 스크립팅 ; 해킹 ; 네트워크 보안
KCI등재
학술저널
177-183(7쪽)
2
0
상세조회0
다운로드국문 초록 (Abstract)
크로스사이트 스크립팅은 웹 애플리케이션의 취약점으로 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 비정상적인 기능을 자동으로 수행하게 하거나 할 수 있다. 크로스사이트 스크립팅(XSS)...
크로스사이트 스크립팅은 웹 애플리케이션의 취약점으로 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 비정상적인 기능을 자동으로 수행하게 하거나 할 수 있다. 크로스사이트 스크립팅(XSS) 공격유형은 한 번의 HTTP 요청과 응답에서 행해지는 XSS인 반사 XSS(reflect XSS)와 페이로드를 전송한 뒤 다수의 피해자가 해당 페이지에 접속하면 XSS 공격에 노출되는 저장 XSS(Stored XSS)로 나눌 수 있다. 그리고 크로스사이트 스크립팅 공격에 대한 방어로 사용자 입력하는 데이터에 대한 입력 값 검증, HTML 인코딩 과정에서의 출력 값에 대한 검증, 사용자가 악의적 코드를 웹 어플리케이션에 삽입하기 위한 시도를 막기 위해 위험 가능성 삽입지점 제거를 제시하였다. 본 논문에서는 이 두 가지 방법에 대한 공격방법과 절차를 제시하고 모의해킹을 수행하였다. 이를 통해 크로스사이트 스크립팅 공격에 대한 이해가 가능하고 대응책을 통해 공격에 대비할 수 있도록 하였다.
다국어 초록 (Multilingual Abstract)
Cross Site Scripting enables hackers to steal other user's information (such as cookie, session etc.) or to do abnormal functions automatically using vulnerability of web application. This attack patterns of Cross Site Scripting(XSS) can be divided in...
Cross Site Scripting enables hackers to steal other user's information (such as cookie, session etc.) or to do abnormal functions automatically using vulnerability of web application. This attack patterns of Cross Site Scripting(XSS) can be divided into two types. One is Reflect XSS which can be executed in one request for HTTP and its reply, and the other is Stored XSS which attacks those many victim users whoever access to the page which accepted the payload transmitted. To correspond to these XSS attacks, some measures have been suggested. They are data validation for user input, output validation during HTML encoding procedures, and removal of possible risk injection point to prevent from trying to insert malicious code into web application. In this paper, the methods and procedures for these two types are explained and a penetration testing is done. With these suggestions, the attack by XSS could be understood and prepared by its countermeasures.
참고문헌 (Reference)
1 이보경, "융합서비스를 위한 클라우드 컴퓨팅 환경에서 가상화 보안에 관한 연구" 한국융합학회 5 (5): 93-99, 2014
2 "https://www.owasp.org/index.php/Top10#OWASP_Top_10_for_2013"
3 "https://www.owasp.org/index.php/About_OWASP"
4 "http://www.gartner.com/newsroom/id/2867917"
5 Brodkin, "The top 10 reasons Web sites get hacked"
6 Dafydd Stuttard, "The Web Applicaton Hacker’s Handbook: Finding and Exploiting Security Flaws" Wade AIcorn 39-497, 2011
7 Symantec Corp, "Symantec Internet Security Threat Report: Trends for July–December 2007(Executive Summary). XIII" 1-3, 2008
8 N. Jovanovic, "Pixy: A static analysistool for detecting web application vulnerabilities (short paper)" IEEE Symposium on Security and Privacy 2006
9 Ryan Barnett, "Full List of Incidents"
10 Prateek Saxena, "Document structure integrity: A robust basis for cross-site scripting defense" 2009
1 이보경, "융합서비스를 위한 클라우드 컴퓨팅 환경에서 가상화 보안에 관한 연구" 한국융합학회 5 (5): 93-99, 2014
2 "https://www.owasp.org/index.php/Top10#OWASP_Top_10_for_2013"
3 "https://www.owasp.org/index.php/About_OWASP"
4 "http://www.gartner.com/newsroom/id/2867917"
5 Brodkin, "The top 10 reasons Web sites get hacked"
6 Dafydd Stuttard, "The Web Applicaton Hacker’s Handbook: Finding and Exploiting Security Flaws" Wade AIcorn 39-497, 2011
7 Symantec Corp, "Symantec Internet Security Threat Report: Trends for July–December 2007(Executive Summary). XIII" 1-3, 2008
8 N. Jovanovic, "Pixy: A static analysistool for detecting web application vulnerabilities (short paper)" IEEE Symposium on Security and Privacy 2006
9 Ryan Barnett, "Full List of Incidents"
10 Prateek Saxena, "Document structure integrity: A robust basis for cross-site scripting defense" 2009
11 노시춘, "Cross-Site Scripting(XSS) 프로세스 진단을 기반으로 한웹 해킹 대응절차 모델 연구" 한국융합보안학회 13 (13): 83-89, 2013
12 Yunkee Seong, "Cross Site Scripting(XSS) attacks and the defenses"
13 Robert Auger, "Cross Site Scripting"
14 Keun-Ho Lee, "Analysis of Threats Factor in IT Convergence Security" 1 (1): 49-55, 2010
15 P. Saxena, "A symbolic execution framework for JavaScript" 2010
공대 신입생들의 팀 활동 만족감과 관련 요인에 관한 연구
학술지 이력
연월일 | 이력구분 | 이력상세 | 등재구분 |
---|---|---|---|
2025 | 평가예정 | 신규평가 신청대상 (신규평가) | |
2022-06-01 | 평가 | 등재학술지 취소 | |
2020-01-01 | 평가 | 등재학술지 유지 (재인증) | ![]() |
2017-01-01 | 평가 | 등재학술지 유지 (계속평가) | ![]() |
2014-01-21 | 학술지명변경 | 한글명 : 디지털정책연구 -> 디지털융복합연구외국어명 : Journal of Digital Policy & Management -> Journal of Digital Convergence | ![]() |
2013-01-01 | 평가 | 등재 1차 FAIL (등재유지) | ![]() |
2010-01-01 | 평가 | 등재학술지 선정 (등재후보2차) | ![]() |
2009-01-01 | 평가 | 등재후보 1차 PASS (등재후보1차) | ![]() |
2007-01-01 | 평가 | 등재후보학술지 선정 (신규평가) | ![]() |
2005-03-25 | 학회명변경 | 한글명 : (사)한국디지털정책학회 -> 한국디지털정책학회영문명 : 미등록 -> The Society of Digital Policy & Management |
학술지 인용정보
기준연도 | WOS-KCI 통합IF(2년) | KCIF(2년) | KCIF(3년) |
---|---|---|---|
2016 | 1.59 | 1.59 | 1.46 |
KCIF(4년) | KCIF(5년) | 중심성지수(3년) | 즉시성지수 |
1.35 | 1.34 | 1.61 | 0.64 |