Trusted types를 활용한 DOM 기반 크로스 사이트 스크립팅 모니터링

Abstract

DOM(Document Object Model) 기반의 크로스 사이트 스크립팅(XSS) 공격은 시간이 흐름에 따라 새로운 공격 방법이 등장하고, 그 공격이 고도화 되어 왔다. 이러한 공격으로부터 사용자들을 보호하기 위해 여러 동적 탐지 기술들과 모니터링 방법들이 논의되어 왔으나, 그 적용의 많은 작업을 필요로 하여 실제 적용이 어려운 단점이 있었다. 더욱이 발생하는 시간 지연과 같은 오버헤드도 무시할 수 없는 수준이었고, 웹 기술 발전으로 인한 성능의 한계 또한 명확했다. 본 논문에서는 쉽게 적용 가능하며, 성능 한계를 극복하고, 큰 폭의 시간 지연이 발생하지 않는 새로운 모니터링 기술 TrustyMon을 제시한다. TrustyMon은 브라우저가 지원하는 Trusted Types을 적극 활용하여 앞선 연구들의 단점들을 뛰어넘었다. 또한 유명한 웹 애플리케이션들에서 발생했던 취약점들을 대상으로 TrustyMon의 유효성을 확인하였으며, 오버헤드 또한 선행 연구들과 비교하였다. 그 결과, TrustyMon은 알려진 취약점 모두를 탐지해냈으며 평균 시간 지연율 또한 4.64%로 선행 연구들과 비교했을 때 제일 적은 시간 지연율을 보였다. 이러한 실험 결과는 TrustyMon이 실제로 적용 가능한 프레임워크이며 그 유효성이 뛰어남을 실증함과 동시에 적용으로 인한 불편함도 최소임을 나타낸다.