정보처리학회논문지:컴퓨터 및 통신 시스템 (KIPS Transactions on Computer and Communication Systems)

  • 제4권1호
  • /
  • Pages.31-36
  • /
  • 2015
  • /
  • 2287-5891(pISSN)
  • /
  • 2734-049X(eISSN)
한국정보처리학회 (Korea Information Processing Society)
권호 표지
DOI QR코드

DOI QR Code

웹 애플리케이션에서 세션 상태 기반의 쿠키 재전송 공격 방어 기법

A Defense Mechanism Based on Session Status against Cookie Replay Attack in Web Applications

  • 원종선 (한국방송통신대학교 정보과학과) ;
  • 박지수 (고려대학교 정보창의교육연구소) ;
  • 손진곤 (한국방송통신대학교 컴퓨터과학과)
  • 투고 : 2014.09.03
  • 심사 : 2014.11.27
  • 발행 : 2015.01.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

웹 접근성이 보다 용이해짐에 따라 사용자 인증이 필요한 웹 애플리케이션에서 보안이 중요시 되고 있다. 웹 애플리케이션에서 쿠키는 세션으로 인한 서버의 부하를 줄이고, 사용자 정보를 효율적으로 관리하기 위해 사용한다. 그러나 사용자 정보가 저장된 쿠키는 공격자에 의해 스니핑될 수 있으며, 이렇게 스니핑된 쿠키를 이용하여 공격자는 마치 합법적인 사용자인 것처럼 사용자의 세션을 유지할 수 있다. 이러한 종류의 공격을 쿠키 재전송 공격이라 하는데, 이것은 웹 애플리케이션에서 중대한 보안 문제를 야기한다. 본 논문에서는 이러한 쿠키 재전송 공격을 탐지하고 방어할 수 있는 기법을 제안하였고 그 효과성을 검증하였다.

As web accessibility has been easier, security issue becomes much more important in web applications demanding user authentication. Cookie is used to reduce the load of the server from the session in web applications and manage the user information efficiently. However, the cookie containing user information can be sniffed by an attacker. With this sniffed cookie, the attacker can retain the web application session of the lawful user as if the attacker is the lawful user. This kind of attack are called cookie replay attack and it causes serious security problems in web applications. In this paper, we have introduced a mechanism to detect cookie replay attacks and defend them, and verified effectiveness of the mechanism.

키워드

참고문헌

  1. WonTae Sim, YoHan Choi, HeeSuk Seo, and BongNam Noh, "A Storage Method to Enhance Cookie File Security", Journal of the Korea Society for Simulation, Vol.20, No.1, pp.29-37, 2011. https://doi.org/10.9709/JKSS.2011.20.1.029
  2. DongHee Kim and JinTak Choi, "A Study on The Efficient Authentication Management Technique of SSO Foundation", Journal of the Korea Institute of Information Technology, Vol. 4, No.1, pp.55-63, 2009.
  3. Aziz Baayer, Noudding Enneya, and Mohammed Elkoutbi, "Enhanced Timestamp Discrepancy to Limit Impact of Replay Attacks in MANETs", Journal of Information Security, pp.224-230, 2012.
  4. D. E. Denning and G. M. Sacco, "Timestamps in Key Distribution Protocols", Magazine Communications of the ACM, Vol.24, No.8, 1981.
  5. Leiba, Barry and Huawei Technologies, "OAuth Web Authorization Protocol", IEEE Internet Computing, Vol.16, No.1, pp.74-77, 2012. https://doi.org/10.1109/MIC.2012.11
  6. John Trammel, Umit Yalcinalp, Andrei Kalfas, James Boag, and Dan Brotsky, "Device Token Protocol for Persistent Authentication Shared across Applications", First European Conference, ESOCC, pp.230-243, 2012.
  7. Mojtaba Ayoubi Mobarhan, Mostafa Ayoubi Mobarhan, and Asadollah Shahbahrami, "Evaluation of Security Attacks on UMTS Authentication Mechanism", International Journal of Network Security & Its Applications(IJNSA), Vol.4, No.4, pp.37-52, 2012. https://doi.org/10.5121/ijnsa.2012.4403
  8. Item Dictionary, "Telecommunications Technology Asscociation", 2014, http://word.tta.or.kr/terms/terms.jsp (Accessed: 27 August 2014).
  9. BokJae Cha, "Analysis of ICT terminology", 2014, http://www.ktword.co.kr/abbr_view.php (Accessed: 27 August 2014).
  10. Wikipedia, "Replay attack-Wikipedia", 2014, http://en.wikipedia.org/wiki/Replay_attack (Accessed: 27 August 2014).
  11. Activation of password-KISA, "Hash function-KISA", 2014, http://seed.kisa.or.kr/iwt/ko/intro/EgovHashFunction.do (Accessed: 28 August 2014).
  12. OWASP, "Category:OWASP Top Ten Project", 2014, https://www.owasp.org/index.php/Category:OWASP_Top_ Ten_Project (Accessed: 31 August 2014).
  13. MSDN, "HttpCookie.HttpOnly", 2014, http://msdn.microsoft.com/ ko-kr/library/system.web.httpcookie.httponly(v=vs.110).aspx (Accessed: 11 October 2014).