RISS 학술연구정보서비스

검색
다국어 입력

http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.

변환된 중국어를 복사하여 사용하시면 됩니다.

예시)
  • 中文 을 입력하시려면 zhongwen을 입력하시고 space를누르시면됩니다.
  • 北京 을 입력하시려면 beijing을 입력하시고 space를 누르시면 됩니다.
닫기
    인기검색어 순위 펼치기

    RISS 인기검색어

      KCI등재

      크로스 사이트 스크립팅(XSS) 취약점에 대한 공격과 방어 = Attacks and Defenses for Vulnerability of Cross Site Scripting

      한글로보기

      https://www.riss.kr/link?id=A101187049

      • 0

        상세조회
      • 0

        다운로드
      서지정보 열기
      • 내보내기
      • 내책장담기
      • 공유하기
      • 오류접수

      부가정보

      국문 초록 (Abstract)

      크로스사이트 스크립팅은 웹 애플리케이션의 취약점으로 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 비정상적인 기능을 자동으로 수행하게 하거나 할 수 있다. 크로스사이트 스크립팅(XSS) 공격유형은 한 번의 HTTP 요청과 응답에서 행해지는 XSS인 반사 XSS(reflect XSS)와 페이로드를 전송한 뒤 다수의 피해자가 해당 페이지에 접속하면 XSS 공격에 노출되는 저장 XSS(Stored XSS)로 나눌 수 있다. 그리고 크로스사이트 스크립팅 공격에 대한 방어로 사용자 입력하는 데이터에 대한 입력 값 검증, HTML 인코딩 과정에서의 출력 값에 대한 검증, 사용자가 악의적 코드를 웹 어플리케이션에 삽입하기 위한 시도를 막기 위해 위험 가능성 삽입지점 제거를 제시하였다. 본 논문에서는 이 두 가지 방법에 대한 공격방법과 절차를 제시하고 모의해킹을 수행하였다. 이를 통해 크로스사이트 스크립팅 공격에 대한 이해가 가능하고 대응책을 통해 공격에 대비할 수 있도록 하였다.
      번역하기

      크로스사이트 스크립팅은 웹 애플리케이션의 취약점으로 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 비정상적인 기능을 자동으로 수행하게 하거나 할 수 있다. 크로스사이트 스크립팅(XSS)...

      크로스사이트 스크립팅은 웹 애플리케이션의 취약점으로 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 비정상적인 기능을 자동으로 수행하게 하거나 할 수 있다. 크로스사이트 스크립팅(XSS) 공격유형은 한 번의 HTTP 요청과 응답에서 행해지는 XSS인 반사 XSS(reflect XSS)와 페이로드를 전송한 뒤 다수의 피해자가 해당 페이지에 접속하면 XSS 공격에 노출되는 저장 XSS(Stored XSS)로 나눌 수 있다. 그리고 크로스사이트 스크립팅 공격에 대한 방어로 사용자 입력하는 데이터에 대한 입력 값 검증, HTML 인코딩 과정에서의 출력 값에 대한 검증, 사용자가 악의적 코드를 웹 어플리케이션에 삽입하기 위한 시도를 막기 위해 위험 가능성 삽입지점 제거를 제시하였다. 본 논문에서는 이 두 가지 방법에 대한 공격방법과 절차를 제시하고 모의해킹을 수행하였다. 이를 통해 크로스사이트 스크립팅 공격에 대한 이해가 가능하고 대응책을 통해 공격에 대비할 수 있도록 하였다.

      더보기

      다국어 초록 (Multilingual Abstract)

      Cross Site Scripting enables hackers to steal other user's information (such as cookie, session etc.) or to do abnormal functions automatically using vulnerability of web application. This attack patterns of Cross Site Scripting(XSS) can be divided into two types. One is Reflect XSS which can be executed in one request for HTTP and its reply, and the other is Stored XSS which attacks those many victim users whoever access to the page which accepted the payload transmitted. To correspond to these XSS attacks, some measures have been suggested. They are data validation for user input, output validation during HTML encoding procedures, and removal of possible risk injection point to prevent from trying to insert malicious code into web application. In this paper, the methods and procedures for these two types are explained and a penetration testing is done. With these suggestions, the attack by XSS could be understood and prepared by its countermeasures.
      번역하기

      Cross Site Scripting enables hackers to steal other user's information (such as cookie, session etc.) or to do abnormal functions automatically using vulnerability of web application. This attack patterns of Cross Site Scripting(XSS) can be divided in...

      Cross Site Scripting enables hackers to steal other user's information (such as cookie, session etc.) or to do abnormal functions automatically using vulnerability of web application. This attack patterns of Cross Site Scripting(XSS) can be divided into two types. One is Reflect XSS which can be executed in one request for HTTP and its reply, and the other is Stored XSS which attacks those many victim users whoever access to the page which accepted the payload transmitted. To correspond to these XSS attacks, some measures have been suggested. They are data validation for user input, output validation during HTML encoding procedures, and removal of possible risk injection point to prevent from trying to insert malicious code into web application. In this paper, the methods and procedures for these two types are explained and a penetration testing is done. With these suggestions, the attack by XSS could be understood and prepared by its countermeasures.

      더보기

      참고문헌 (Reference)

      1 이보경, "융합서비스를 위한 클라우드 컴퓨팅 환경에서 가상화 보안에 관한 연구" 한국융합학회 5 (5): 93-99, 2014

      2 "https://www.owasp.org/index.php/Top10#OWASP_Top_10_for_2013"

      3 "https://www.owasp.org/index.php/About_OWASP"

      4 "http://www.gartner.com/newsroom/id/2867917"

      5 Brodkin, "The top 10 reasons Web sites get hacked"

      6 Dafydd Stuttard, "The Web Applicaton Hacker’s Handbook: Finding and Exploiting Security Flaws" Wade AIcorn 39-497, 2011

      7 Symantec Corp, "Symantec Internet Security Threat Report: Trends for July–December 2007(Executive Summary). XIII" 1-3, 2008

      8 N. Jovanovic, "Pixy: A static analysistool for detecting web application vulnerabilities (short paper)" IEEE Symposium on Security and Privacy 2006

      9 Ryan Barnett, "Full List of Incidents"

      10 Prateek Saxena, "Document structure integrity: A robust basis for cross-site scripting defense" 2009

      1 이보경, "융합서비스를 위한 클라우드 컴퓨팅 환경에서 가상화 보안에 관한 연구" 한국융합학회 5 (5): 93-99, 2014

      2 "https://www.owasp.org/index.php/Top10#OWASP_Top_10_for_2013"

      3 "https://www.owasp.org/index.php/About_OWASP"

      4 "http://www.gartner.com/newsroom/id/2867917"

      5 Brodkin, "The top 10 reasons Web sites get hacked"

      6 Dafydd Stuttard, "The Web Applicaton Hacker’s Handbook: Finding and Exploiting Security Flaws" Wade AIcorn 39-497, 2011

      7 Symantec Corp, "Symantec Internet Security Threat Report: Trends for July–December 2007(Executive Summary). XIII" 1-3, 2008

      8 N. Jovanovic, "Pixy: A static analysistool for detecting web application vulnerabilities (short paper)" IEEE Symposium on Security and Privacy 2006

      9 Ryan Barnett, "Full List of Incidents"

      10 Prateek Saxena, "Document structure integrity: A robust basis for cross-site scripting defense" 2009

      11 노시춘, "Cross-Site Scripting(XSS) 프로세스 진단을 기반으로 한웹 해킹 대응절차 모델 연구" 한국융합보안학회 13 (13): 83-89, 2013

      12 Yunkee Seong, "Cross Site Scripting(XSS) attacks and the defenses"

      13 Robert Auger, "Cross Site Scripting"

      14 Keun-Ho Lee, "Analysis of Threats Factor in IT Convergence Security" 1 (1): 49-55, 2010

      15 P. Saxena, "A symbolic execution framework for JavaScript" 2010

      더보기

      동일학술지(권/호) 다른 논문

      분석정보

      View

      상세정보조회

      0

      Usage

      원문다운로드

      0

      대출신청

      0

      복사신청

      0

      EDDS신청

      0

      동일 주제 내 활용도 TOP

      더보기

      주제

      연도별 연구동향

      연도별 활용동향

      연관논문

      연구자 네트워크맵

      공동연구자 (7)

      유사연구자 (20) 활용도상위20명

      인용정보 인용지수 설명보기

      학술지 이력

      학술지 이력
      연월일 이력구분 이력상세 등재구분
      2025 평가예정 신규평가 신청대상 (신규평가)
      2022-06-01 평가 등재학술지 취소
      2020-01-01 평가 등재학술지 유지 (재인증) KCI등재
      2017-01-01 평가 등재학술지 유지 (계속평가) KCI등재
      2014-01-21 학술지명변경 한글명 : 디지털정책연구 -> 디지털융복합연구
      외국어명 : Journal of Digital Policy & Management -> Journal of Digital Convergence
      KCI등재
      2013-01-01 평가 등재 1차 FAIL (등재유지) KCI등재
      2010-01-01 평가 등재학술지 선정 (등재후보2차) KCI등재
      2009-01-01 평가 등재후보 1차 PASS (등재후보1차) KCI등재후보
      2007-01-01 평가 등재후보학술지 선정 (신규평가) KCI등재후보
      2005-03-25 학회명변경 한글명 : (사)한국디지털정책학회 -> 한국디지털정책학회
      영문명 : 미등록 -> The Society of Digital Policy & Management
      더보기

      학술지 인용정보

      학술지 인용정보
      기준연도 WOS-KCI 통합IF(2년) KCIF(2년) KCIF(3년)
      2016 1.59 1.59 1.46
      KCIF(4년) KCIF(5년) 중심성지수(3년) 즉시성지수
      1.35 1.34 1.61 0.64
      더보기

      이 자료와 함께 이용한 RISS 자료

      나만을 위한 추천자료

      해외이동버튼