DOI QR코드

DOI QR Code

A Method for Security Strengthening of Web Application using AOP

AOP를 이용한 웹 애플리케이션의 보안성 강화 방안

  • 선수림 (동국대학교 컴퓨터공학과) ;
  • 이금석 (동국대학교 컴퓨터공학과)
  • Published : 2009.02.28

Abstract

As use of web applications and web-based information systems increases, so web application attacks are increasing. Recently, XSRF(Gross Site Request Forgery) attacks among a variety of web attacks become important because victim's damage caused by such attacks can be severe. But adding security functions for preventing XSRF attacks to existing developed and running software systems could affect move dangerous and expensive to companies and organizations. We suggest effectively adding these security functions to legacy systems, could separate concerns using advantage of the modularity offered by AOP(Aspect-Oriented Programming) methodology. In this paper, we have presented approach for detecting and preventing XSRF in JEE systems using aspect of AOP.

웹 애플리케이션과 웹 기반 정보 시스템의 이용이 증가하면서 웹 애플리케이션 공격도 증가하고 있다. 다양한 웹 공격 중에 사용자에게 큰 손해를 입힐 수 있는 공격으로 최근에 크로스사이트 요청 변조(Cross Site Request Forgery, XSRF) 공격이 대두되고 있다. 하지만 기존에 개발되어 운영되고 있는 애플리케이션에 이런 공격을 막기 위해 보안 기능을 추가하는 것은 기업이나 조직에 많은 비용과 위험을 초래할 수 있다. 이러한 보안 기능을 레거시(legacy) 시스템에 효과적으로 적용하기 위해 관점 지향 프로그래밍(Aspect-Oriented Programming, AOP)에서 제공하는 모듈화의 장점을 이용하여 관심사(concern)를 분리한다. 본 논문에서는 JEE(Java Enterprise Edition) 환경의 시스템에서 관점 지향프로그래밍의 애스펙트(aspect)를 이용하여 크로스사이트요청 변조 공격을 탐지하고 방어하는 접근방법을 제시한다.

Keywords

References

  1. OWASP. TOP Ten Most Critical Web Application Security Vulnerabilities, http://www.owasp.org. 2007.
  2. 김영수, 조선구, "그레이박스를 사용한 컴포넌트의 관심사 분리 보안 모델," 한국컴퓨터정보학회논문지, 제 13권, 제 5호, 163-170쪽, 2008년 9월.
  3. G. Kiczales and et al. "Aspect-Oriented Programming," in proceedings of European Conference for Object-Oriented Programming, LNCS Vol. 1241, pp.220-243. 1997.
  4. 박대우, 서정만, "Phshing, Vishing, SMiShing 공격에서 공인인증을 통한 정보침해 방지 연구," 한국컴퓨터정보학회논문지, 제 12권, 제 2호 171-180쪽, 2007년 5월.
  5. D. Kristol, L. Montulli, "RFC 2965:HTTP State Management Mechanism," http://tools.ietf.org/rfc/rfc2965.txt. 2000.
  6. N. Jovanovic, E. Kirda, C. Kruegel, "Preventing Cross Site Request Forgery Attacks," in workshop of the 1st International Conference on Security and Privacy for Emerging Areas in Communication Networks, pp. 1-10, Baltimore, USA, 2006.
  7. Web Application Security Consortium - Web Hacking Incidents Database(WHID), "WHID 2008-10: Chinese hacker steals user information on 18 MILLION online shoppers at Auctio. co. kr ," http://www.webappsec.org/projects/whid/byid_id_2008-10.shtml, 2008.
  8. Cross-site request forgery, http://en.wikipedia.org/wiki/Cross_site_request_forgery. 2008.
  9. R. Fielding, J. Gettys, J. Mogul, H. Frystyk, L. Masinter, P. Leach, T. Berners-Lee, "RFC 2616: Security Considerations," http://www.w3.org/Protocols/rfc2616/rfc2616-sec15.html, 1999.
  10. M. Johns, J. Winter, "RequestRodeo: Client Side Protection against Session Riding," in proceedings of the OWASP Europe 2006 Conference. Report CW448, pp.5-17, Leuven, Belgium, 2006.
  11. Workshop for Application-level Security (AOSDSEC) in the 3rd International Conference on Aspect-Oriented Software Development (AOSD'04).TW387, Lancaster, UK. 2004.
  12. G. Hermosillo, R. Gomez, L. Seinturier, L. Duchien, "AProSec: an Aspect for Programming Secure Web Applications," in Availability, Reliability and Security on the 2nd International Conference (ARES'07), pp.1026-1033, Vienna University of Technology, Austria, 2007.
  13. Apache Tomact, http://tomcat.apache.org/.
  14. Developer Resources for Java Technology, http://java.sun.com.
  15. The AspectJ Project. http://www.eclipse.org/aspecti/.
  16. The AspectWerkz Project, http://aspectwerkz.codehaus.org/.
  17. Apache JMeter, http://jakarta.apache.org/jmeter/SoruceForge:mvnForum, http://sourceforge.net/projects/mvnForum/[7].