정보처리학회논문지C (The KIPS Transactions:PartC)

한국정보처리학회 (Korea Information Processing Society)
권호 표지
DOI QR코드

DOI QR Code

원격코드검증을 통한 웹컨텐츠의 악성스크립트 탐지

Detecting Malicious Scripts in Web Contents through Remote Code Verification

  • 최재영 (인천대학교 컴퓨터공학과) ;
  • 김성기 (선문대학교 IT교육학부) ;
  • 이혁준 (인천대학교 컴퓨터공학과) ;
  • 민병준 (인천대학교 컴퓨터공학과)
  • 투고 : 2011.10.17
  • 심사 : 2011.12.07
  • 발행 : 2012.02.29
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근 웹사이트는 매쉬업, 소셜 서비스 등으로 다양한 출처의 리소스를 상호 참조하는 형태로 변화하면서 해킹 시도도 사이트를 직접 공격하기보다 서비스 주체와 연계 서비스, 클라이언트가 상호 작용하는 접점에 악성스크립트를 삽입하는 공격이 증가하고 있다. 본 논문에서는 웹사이트 이용 시 신뢰관계에 있는 여러 출처로부터 다운받은 웹컨텐츠의 HTML 코드와 자바스크립트 코드가 클라이언트 브라우저에서 구동 시 삽입된 악성스크립트를 원격의 검증시스템으로부터 탐지하는 모델을 제안한다. 서비스 주체의 구현코드 정보를 활용하여 요청 출처에 따라 검증 항목을 분류하고 웹컨텐츠의 검증 요소를 추출하여 검증 평가결과를 화이트, 그레이, 블랙 리스트로 데이터베이스에 저장하였다. 실험평가를 통해 제안한 시스템이 악성스크립트를 효율적으로 탐지하여 클라이언트의 보안이 향상됨을 확인하였다.

Sharing cross-site resources has been adopted by many recent websites in the forms of service-mashup and social network services. In this change, exploitation of the new vulnerabilities increases, which includes inserting malicious codes into the interaction points between clients and services instead of attacking the websites directly. In this paper, we present a system model to identify malicious script codes in the web contents by means of a remote verification while the web contents downloaded from multiple trusted origins are executed in a client's browser space. Our system classifies verification items according to the origin of request based on the information on the service code implementation and stores the verification results into three databases composed of white, gray, and black lists. Through the experimental evaluations, we have confirmed that our system provides clients with increased security by effectively detecting malicious scripts in the mashup web environment.

키워드

참고문헌

  1. Wikipedia, "Same origin policy", http://en.wikipedia.org/wiki/Same_origin_policy.
  2. A. van Kesteren, "Cross-Origin Resource Sharing", http://www.w3.org/TR/cors/, W3C Working Draft, 2010.
  3. S. Hanna, E. Chul, R. Shin, D. Akhawe, A. Boehm, P. Saxena, and D. Song, "The emperor's new APIs: On the (in)secure usage of new client-side primitives", Web2.0 Security and Privacy Conference (W2SP), 2010.
  4. Adobe, "Cross-domain policy file specification", http://www. adobe.com/devnet/articles/crossdomain_policy_file_spec.html, 2010.
  5. Yahoo Developer Network's Javascript Developer Center, "JavaScript: Use a Web Proxy for Cross-Domain XML HttpRequest Calls", http://developer.yahoo.com/javascript/howto-proxy.html.
  6. Google, "Google safe browsing", http://code.google.com/apis/safebrowsing/.
  7. N. Provos, D. McNamee, P. Mavrommatis, K. Wang, and N. Modadugu. "The ghost in the browser analysis of web-based malware", Proc. Of the USENIX Workshop on Hot Topics in Understanding Botnets (HotBots), 2007.
  8. Microsoft, "SmartScreen Filter | Internet Explorer 8 Security.", http://www.microsoft.com/security/filters/smartscreen.aspx.
  9. W. Maes, T. Heyman, L. Desmet, and W. Joosen. "Browser Protection against Cross-Site Request Forgery". In Workshop on Secure Execution of Untrusted Code (SecuCode), 2009.
  10. C. Jackson and H. J. Wang. "Subspace: Secure Cross-Domain Communication for Web Mashups". In Proceedings of the 16th International World Wide Web Conference (WWW), 2007.
  11. F. D. Keukelaere, S. Bhola, M. Steiner, S. Chari, and S. Yoshihama. "Smash: secure component model for cross-domain mashups on unmodified browsers". In Proceeding of the 17th international conference on World Wide Web (WWW), 2008.
  12. C. Reis, J. Dunagan, H. J. Wang, O. Dubrovsky, and S. Esmeir. "BrowserShield: Vulnerability-Driven Filtering of Dynamic HTML", In Proceedings of the 7th USENIX Symposium on Operating Systems Design and Implementation (OSDI), 2006.
  13. A. Moshchuk, T. Bragin, D. Deville, S. D. Gribble, and H. M. Levy. "SpyProxy: Execution-based Detection of Malicious Web Content", In Proceedings of the 16th USENIX Security Symposium, 2007.
  14. OWASP Foundation, "Cross-Site Request Forgery(CSRF)". https://www.owasp.org/index.php/Cross-Site_Request_For gery, 2010.
  15. OWASP Foundation, "Cross-site Scripting". https://www. owasp.org/index.php/Cross-site_scripting, 2010.
  16. Attack & Defense Lab, "Cross Origin Requests Security", http://www.andlabs.org/html5.html
  17. 민병준, 김성기, 최재영 외, "모바일 접속환경을 위한 웹사이트 침해예방 연구", 한국인터넷진흥원, 2010.09.