웹 애플리케이션 서버 측 보안 접근 방식에 대한 조사
Source
Evernote/IFTTT Feedly/A survey on server-side approaches to securing web applications.md
Summary
이 논문은 웹 애플리케이션 보안을 위한 서버 측 기법들을 체계적으로 조사한다. 기존 연구들이 단편적으로 발전해 온 점을 보완하여, 다양한 보안 기법들 간의 연관성을 규명하고 웹 애플리케이션 보안 연구의 전체적인 그림(Big Picture)을 제시함으로써 향후 연구를 촉진하는 것을 목표로 한다.
Key Points
웹 애플리케이션은 인터넷 정보 및 서비스 제공의 주요 플랫폼으로, 중요 서비스 사용 증가에 따라 보안 공격의 주요 표적이 되고 있다.
웹 애플리케이션 보안을 강화하고 공격을 완화하기 위한 다양한 기법들이 개발되었으나, 이들 간의 연관성을 규명하거나 전체적인 연구 현황을 정리한 노력이 부족했다.
본 논문은 서버 측(server-side) 관점에서 웹 애플리케이션 보안 기법들을 조사하고 체계화하여, 웹 애플리케이션 보안 연구의 큰 그림을 제시한다.
HTTP 기반 애플리케이션 방화벽 정책 분석
웹 서비스의 테스트 기반 보안 인증 체계
WebRTC 브라우저 간 보안 보장
HTML5 Web App Client-Side Storage 옵션 및 팁
웹 기반 멀웨어 분석 및 방어 연구 동향
웹 기반 실시간 통신 보안 (WebRTC)
브라우저 기반 사후 멀웨어 보호 (Browser Based Retroactive Malware Protection)
CSRF)
웹 서비스 회귀 테스트에 대한 체계적 매핑 연구 (2014)
웹의 불안전한 JavaScript 사용 관행에 대한 측정 연구
CAMP: Content-Agnostic Malware Protection
봇넷 연구의 라이프사이클 기반 분류 및 서베이
구글의 중앙집중적 접근 방식에 대한 비판
Kurento WebRTC PaaS의 인증, 인가 및 회계 보안 모델 분석
웹 애플리케이션 모델 저장소의 텍스트 및 내용 기반 검색
S-links: 분산 보안 정책과 안전한 소개(Secure Introduction)
웹 해킹 및 보안 테스트 도구 리소스
반응형 프로그래밍(Reactive Programming)에 대한 조사
WebRTC 보안 아키텍처와 호환되지 않는 신원 프로토콜의 적응 방안
오프라인 웹 애플리케이션 만들기 (Mozilla 웹 기술 블로그)
나쁜 인증 시도 방어하기 (1 편)
TLS Forward Secrecy Deployments
WebRTC 서비스의 사용자 신원 및 신뢰 문제
WebRTC 인프라: STUN, TURN 및 시그널링
XSS(Cross Site Scripting) 취약점 개요 및 시리즈 소개
SSL 의 6 가지 주요 보안 약점 (2014 년 기준)
웹 기반 악성코드 유포 메커니즘 및 OWASP Top 10(SQL Injection) 개요
웹 기반 연산 오프로딩 및 상태 시리얼라이제이션 연구 동향
HTTPS 개요 및 TLS 핸드셰이크 프로토콜
NIST SP 800-63 디지털 신원 가이드라인 (2017)
웹 단일 로그인(SSO) 사용자 인식 및 수용 모델 연구
HTTP 프로토콜 핵심 개념: 연결, 인증 및 캐싱 (Part 2)
2013년 한국 대상 대규모 제로데이 공격 분석 (IE & Java)
사이버-물리 시스템(CPS) 침입 탐지 기술 조사
모바일 DDoS 공격의 현실화와 ‘좀비스마트폰’ 위협
스마트 잠금 장치의 보안성: 안전할까, 아니면 어리석을까?
모니터링 대상 중국 해커 커뮤니티 및 사이트 목록 (2006)
Brute-Force Attacks Explained: How All Encryption is Vulnerable
Etsy의 비판 없는 사후 분석 (Blameless Postmortem)
드라이브 바이 다운로드 공격 기법 및 사례 분석
Chromecast 의 설계상 보안 한계
만화로 보는 DNS over HTTPS (DoH) 소개
검색만으로도 해킹에 노출된 청소년들
일베 게시글: 해킹툴 판매자 신고 가이드 (2013)
Authentication at Scale
Please don’t use these passwords. Sincerely, the Internet
알람 시계 분해 및 회로 분석
중국 해킹툴 관련 사이트 목록 (2007)
실용적인 HTTP Host 헤더 공격
DDoS 공격 시각화: VideoLAN 사례
미국 침입자 사살 허용설 반박
HTTPS 관련 7가지 오해 (HttpWatch Blog)
Developers don’t understand CORS
HTTP 프로토콜 기초 (Part 1)
스카이프, 웹 기반 통화 시장에 진출 (2013)
어나니머스 코리아 실체 논란 및 보안 전문가의 비판
브라우저 간 P2P 연결 (WebRTC)
BitTorrent, 분산형 채팅 클라이언트 ‘BitTorrent Chat’ 공개
Adobe Primetime 플랫폼 업데이트 및 터너 브로드캐스팅 계약
WebKit의 웹표준 구현 현황 (2011)
2015 년 최악의 비밀번호 목록 및 보안 권고사항
WPA)
WebRTC DataChannel 구현, API 변경 및 크롬-파이어폭스 상호운용성
Web Directions Code: REST에 대해 모든 개발자가 알아야 할 사항
Rustle League, Anonymous 관련 계정 해킹
3: TCP 대신 UDP(QUIC)를 사용하여 네트워크 성능 및 신뢰성 향상
비트토런트 챗 (BitTorrent Chat) 개요
안드로이드 크롬의 WebRTC 지원 (2013)
Rogue Femtocell Owners: How Mallory Can Monitor My Devices
WebRTC의 패킷 손실 처리 메커니즘
BitTorrent Bleep: P2P 암호화 메신저
FireChat: 인터넷 없이 작동하는 P2P 채팅 앱
Firefox OS 한국어 지원 현황 및 로드맵 (2013)
모바일 게임 크랙 대응: 서버 로그분석의 중요성
APT(지능형 지속 위협) 개요 및 주요 사례
uIP (micro IP)
Cube Slam: WebRTC 기반 실시간 브라우저 게임
RFC 7413: TCP Fast Open (TFO)
3가 UDP(QUIC)를 선택한 이유
후지쯔, UDP 기반 고속 전송 프로토콜 개발
니들이 해킹을 알어? - 1부 (디스이즈게임 연재)
WebRTC의 대중화와 주요 적용 분야 (2015)
Libplanet 0.2 릴리스 주요 변경 사항
AirDisk: 무선 파일 공유 앱
웹 서비스에서의 마이크로컴퓨테이션 기반 마이크로페이먼트
CoAP(Constrained Application Protocol) 표준화 동향
xHelper Android 악성코드: 공장 초기화에도 제거 불가
실시간 분산 미들웨어 표준에 대한 조사
상호의존적 정보 보안 게임 이론 조사 (A Survey of Interdependent Information Security Games)
3: UDP 기반 전송 프로토콜의 등장 배경
IoT 환경 리눅스 OS 대상 웜 ‘리눅스 달로즈’ 분석
온라인 게임 보안: 봇 탐지를 위한 IT 기술의 재발견
Y세대 회사원의 BYOD 정책 위반 의향 및 보안 리스크 (2013 포티넷 조사)
JSWhiz: JavaScript 메모리 누수 정적 분석 도구
지문 인식 시스템의 반스푸핑(Antispoofing) 기법 조사
GPU 에너지 효율성 분석 및 개선 방법론 조사
3 Top IoT “security” Architectures and How to Fix Them
NSA PRISM 프로젝트: 주요 IT 기업 서버 직접 접근 논란
Firefox 35: Hello 비디오 채팅 개선 및 데스크톱 Marketplace 베타 출시
3가 UDP(QUIC)를 선택한 이유
메모리 암호화 기술 조사 (Memory Encryption Survey)