서지주요정보
Script injection attacks in rich internet application = 리치 인터넷 애플리케이션에서의 스크립트 주입 공격
서명 / 저자 Script injection attacks in rich internet application = 리치 인터넷 애플리케이션에서의 스크립트 주입 공격 / Hyun Wook Hong.
저자명 Hong, Hyun Wook ; 홍현욱
발행사항 [대전 : 한국과학기술원, 2013].
Online Access 원문보기 원문인쇄

소장정보

등록번호

8029492

소장위치/청구기호

학술문화관(문화관) 보존서고

MIS 13011

SMS전송

도서상태

이용가능

대출가능

반납예정일

초록정보

As the modern web application started to reflect the user input to generate dynamic content, Cross-Site Scripting (XSS) attack has gained its popularity. XSS vulnerability is caused by improperly validating the user input, and thus allows the injection of malicious client-side script. In response to its overwhelming popularity, a lot of research has been done to mitigate this XSS vulnerability. Unfortunately, XSS issues in rich internet applications are not as much studied as the regular web applications. In this thesis, we show XSS attacks against Adobe Flash application, one of the most popular rich internet applications. In order to emphasize the risk of XSS in rich internet application, we implemented an automated XSS vulnerability analyzing system to automatically discover vulnerable Flash applications that are being serviced on the Web. Our system discovered vulnerable Flash applications from domestic portal sites. We also tried uploading the script-injected Flash applications to both domestic and foreign blog hosting sites to test the XSS attacks, and the sites were also vulnerable to those attacks. An XSS attack can be extended to a variety of attacks, such as session hijacking, URL redirection, malware installation, key logging and so on. By exploiting vulnerable Flash applications revealed from the portal sites in Korea, this thesis demonstrated that it is possible to access other users’ private information with the hijacked session. We notified the administrator of the portal site to modify this security flaw. In order to prevent this XSS attack, any external input to a Flash application must be validated upon its arrival. Especially in the environment where the user can easily customize the page content, such as blog hosting sites, Flash application must be considered as a potential security threat. The execution of external script must be controlled by proper sanitization of the input values as it may affect a large number of visitors.

크로스사이트 스크립팅 (Cross-site Scripting (XSS)) 공격은 사용자 입력 값을 받아 동적으로 생성되는 웹 페이지를 웹 애플리케이션에서 입력 값을 제대로 검증하지 못해 발생하는 문제이다. 기존의 웹 애플리케이션에 대한 크로스사이트 스크립팅 공격은 잘 알려져 있으며 많은 연구가 진행되어 왔으나, 리치 인터넷 애플리케이션에 대한 크로스사이트 스크립팅 공격은 잘 알려져 있지 않으며 상대적으로 연구가 많이 진행되고 있지 않다. 본 논문에서는 리치 인터넷 애플리케이션 중 가장 많은 시장 점유율을 가지고 있는 Adobe Flash 플랫폼을 대상으로 스크립트 주입 공격을 2가지 형태의 공격으로 진행하였다. 첫째, 국내 포털 사이트에서 서비스하고 있는 플래시 애플리케이션에 스크립트 주입이 가능한지를 플래시 애플리케이션의 크로스사이트 스크립팅 취약점을 자동으로 분석하는 시스템을 구현하여 공격을 시도하였으며, 둘째, 국내 및 국외에서 서비스하고 있는 블로깅 사이트에 플래시 애플리케이션을 이용한 크로스사이트 스크립팅 공격을 시도하였다. 결과로 국내 모든 포털 사이트에서 스크립트 주입 공격이 가능한 플래시 애플리케이션이 서비스되고 있음을 알 수 있었으며, 국내 및 국외에서 서비스하고 있는 다수의 블로깅 사이트에서 스크립트가 주입된 플래시 애플리케이션을 이용하여 크로스사이트 스크립팅 공격을 시도할 수 있음을 확인하였다. 크로스사이트 스크립팅 공격으로 사용자의 세션 탈취, URL 리다이렉션 공격, 악성코드 설치, 키로깅 등 다양한 공격을 할 수 있다. 국내 포털 사이트에서 발견된 크로스사이트 스크립팅 공격에 취약한 플래시 애플리케이션을 이용하여 사용자의 세션을 탈취한 후 사용자의 개인적인 공간에 접근이 가능함을 확인하였으며 해당 취약점을 보안 담당자에게 제보하여 수정할 수 있도록 하였다. 포털 사이트를 포함하여 사용자 외부 입력 값을 활용한 플래시 애플리케이션을 서비스하는 모든 웹 사이트들은 사용자 외부 입력 값을 반드시 검증한 다음 플래시 애플리케이션에서 활용할 수 있도록 해야 한다. 그리고 블로깅 사이트와 같이 사용자의 입력 값으로 콘텐츠가 생성되고 많은 사람들이 접근할 수 있는 공간에서의 플래시 애플리케이션은 하나의 스크립트로 실행될 수 있음을 인지하고 적절한 필터링 정책에 의해 플래시 애플리케이션의 외부 스크립트 실행이 제어되어야 한다.

서지기타정보

서지기타정보
청구기호 {MIS 13011
형태사항 iv, 23 p. : 삽도 ; 30 cm
언어 영어
일반주기 저자명의 한글표기 : 홍현욱
지도교수의 영문표기 : Chaeho Lim
지도교수의 한글표기 : 임채호
공동지도교수의 영문표기 : Myungchul Kim
공동지도교수의 한글표기 : 김명철
학위논문 학위논문(석사) - 한국과학기술원 : 정보보호대학원,
서지주기 References : p. 18-19
주제 Script Injection Attack
Cross-site Scripting
XSS
Rich Internet Application
Flash
스크립트 주입 공격
크로스 사이트 스크립팅
리치 인터넷 애플리케이션
플래시
QR CODE qr code