지원사업
학술연구/단체지원/교육 등 연구자 활동을 지속하도록 DBpia가 지원하고 있어요.
커뮤니티
연구자들이 자신의 연구와 전문성을 널리 알리고, 새로운 협력의 기회를 만들 수 있는 네트워킹 공간이에요.
논문 기본 정보
- 자료유형
- 학위논문
- 저자정보
- 지도교수
- 김형식
- 발행연도
- 2021
- 저작권
- 성균관대학교 논문은 저작권에 의해 보호받습니다.
이용수9
이 논문의 연구 히스토리 (2)
- 이 논문의 후속연구가 궁금하신가요?
- 연관 학술논문 또는 학술발표를 통해 보다 발전된 연구결과를 확인하실 수 있습니다.
- 이 논문의 연구 히스토리 확인하기
초록· 키워드
오류제보하기
자바스크립트로 작성된 웹 어플리케이션에서 Cross-Site Scripting (XSS), SQL Injection과 같은 검증되지 않은 사용자 입력 데이터로 인해 발생하는 취약점을 탐지하기 위해 오염 분석 기법이 널리 사용되고 있다. 이러한 취약점을 탐지하기 위해서는 사용자 입력 데이터에 영향을 받는 변수들을 추적하는 것이 중요하지만, 자바스크립트의 동적인 특성으로 인해 웹 어플리케이션을 실행해 보지 않고 그러한 변수들을 식별하는 것은 매우 어렵다. 때문에, 기존의 오염 분석 도구들은 대상 어플리케이션을 실행하는 오버헤드가 존재하는 동적 오염 분석을 사용하도록 개발되었다. 본 논문에서는 타입스크립트(자바스크립트의 상위집합) 컴파일러를 활용해 얻은 심볼 정보를 기반으로 데이터의 흐름을 정확히 추적하고, 타입스크립트 코드에서 보안 취약점을 발견하는 새로운 정적 오염 분석 기법을 제안하였다. 제안한 기법은 개발자가 검증되지 않은 사용자 입력 데이터를 포함할 수 있는 변수에 표시를 할 수 있도록 하며, 이를 활용해 사용자 입력 값에 영향을 받는 변수와 데이터를 추적한다. 제안한 기법은 TypeScript 컴파일러에 원활히 통합될 수 있기 때문에, 별도의 도구로 작동하는 기존 분석 도구와 달리 개발자가 개발 과정에서 취약점을 발견할 수 있게 한다. 제안한 기법의 유효성을 확인하기 위해 프로토타입을 구현하였으며, 취약점이 보고된 8개의 웹 어플리케이션을 선정하여 분석을 수행하여 성능을 평가한 결과 기존의 취약점을 모두 탐지할 수 있음을 확인하였다.
목차
제 1 장 서론 1제 2 장 배경 지식 42.1 오염 분석 42.2 타입스크립트 42.2.1 타입스크립트 컴파일러 구조 6제 3 장 관련 연구 8제 4 장 제안 기법 94.1 심볼의 초기 신뢰성 104.2 데이터 흐름 분석 124.2.1 데이터 흐름 연결 134.2.2 비신뢰 전파 144.2.3 표현식의 명시적 신뢰성 표기 164.3 분석 예시 17제 5 장 평 가 205.1 실험 대상 선정 205.1.1 오염 명세 205.1.2 실험 대상 웹 어플리케이션 215.2 취약점 탐지 정확성 평가 22제 6 장 논 의 236.1 기존 정적 분석 도구 대비 특성 비교 236.2 한계점 246.3 타입 표기 및 오염 명세 변환 자동화 방법론 24제 7 장 결론 및 향후 계획 26참고문헌 27Abstract 33
최근 본 자료
댓글(0)
0