Internet Explorer 8 XSS 필터의 통계적 유효성 검사

  • Article

 

 

안녕하세요, Microsoft 온라인 서비스 보안 및 컴플라이언스 사건 관리 팀의 Russ McRee 입니다. 저희 팀은 온라인 서비스를 대상으로 여러 종류의 공격에 대한 사례 처리를 담당합니다. 우리가 다루는 사례 중에서 크로스 사이트 스크립팅(XSS) 공격에 관한 것이 상위를 차지하고 있습니다.

크로스 사이트 스크립팅(XSS)(XSS,cross-site scripting) 어택을 둘러싼 상황에는 " 다른 공격에 비해 영향이 적고" , " 현실적인 것이 아닌 이론적" 이라는 불행한 오해가 있습니다. 이러한 견해는 인터넷 사용자의 잠재적인 위험을 증대시킨다고 확신했습니다. Internet Explorer 8 에 XSS 필터를 추가하는 것이 매우 중요한 것임을 보여주는 몇 가지 통계를 공유합니다.

Web Application Security Consortium (WASC) (영어) 은 최근, Web Application Security Statistics Project 2007 연구 결과를 발표했습니다. 이 보고데이터에는 2008 년 6 월, ISSA Journal (영어) 에 게재된 The Anatomy of an XSS Attack (영어) 에서 인용한 통계도 추가되어 있습니다.

WASC 조사 결과 (영어)에서 주목해야 할 점:

SQL 인젝션, 정보 누설, 추측 가능한 리소스 위치, 크로스 사이트 스크립팅(XSS)을 포함한 현재 유행하는 취약성 가운데, XSS 가 41 % 로 가장 만연했습니다.

  WASC 조사 결과 (영어)에서 분석한 10,297개 사이트에서 31 %에서 28,796 개의 XSS 에 관한 취약성이 발견되었습니다.

추가 통계정보:

  Internet Security Threat Report from Symantec (영어) 에 의하면, 2007 년 7 ~12 월 사이에 11,253개 사이트에서 크로스 사이트 스크립팅(XSS)에 관한 취약성이 기록되었으며, 이것은 같은 해 2 ~6 월까지 기록된 6,961 개 사이트와 비교하면 62 % 증가를 보여줍니다.  

  WhiteHat Security Statistics Report (영어) 에 의하면, 웹 사이트의 90 % 는 적어도 하나 이상의 취약성이 있고, 그 중의 70 % 는 XSS 에 관한 것이라고 합니다.

모든 통계정보가 이 문제를 해결하기 위한 행동이 얼마나 중요한지 증명하고 있습니다. XSS 에 관한 취약성은 크게 유행할 것으로 보이기 때문에, Internet Explorer 8에 XSS 필터(강력한 공격의 벡터에서 소비자를 보호하는 것을 목적으로 함)가 탑재되었던 것에는 큰 의미가 있습니다.

SWI (영어) 팀의 보안 소프트웨어 엔지니어인 David Ross 는 크로스 사이트의 요청에서 XSS 과 유사한 것을 발견하기 위해 노력하였고, 서버 응답에서 그 것이 재현되는 경우를 식별하여 공격을 무력화 했습니다. 사용자가 대답할 수 없는 질문을 제시하는 대신, Internet Explorer 는 악의가 있는 스크립트를 실행 전에 차단합니다.

단적으로 말하면, Internet Explorer 8 의 XSS 필터는 인터넷 사용자가 처한 광범위한 보안 목표 위협인 일반적인 XSS 어택을 자동적으로 검색, 방어하는 다층 방어를 성능이나 호환성에 영향을 주지 않고 제공하는 것을 추구합니다.

이러한 통계를 살펴보면, Internet Explorer 8 사용자가 이러한 위협에 처했을 경우, 70 % 는 XSS 필터에 의해서 저지 됩니다. Internet Explorer 와 SWI 팀은 사용자에게 새로운 수준의 보호 기능을 제공하기 위해, 여기서 추진하고 있는 일에 대해 정말 즐겁게 생각하고 있습니다.

Russ McRee

 

* 이 글은 Internet Explorer 개발 팀 블로그 (영어)의 번역 문서입니다. 이 글에 포함된 정보는 Internet Explorer 개발 팀 블로그 (영어)가 생성된 시점의 내용으로, 제품의 사양이나 기능이 보장되는 것은 아닙니다. 이 글에 포함된 정보의 이용은 사용 조건을 참조해 주세요. 또, 이 글 게재 시점에서 Internet Explorer 개발 팀 블로그 (영어)의 내용이 변경 될 수 도 있습니다. 최신 정보는 Internet Explorer 개발 팀 블로그 (영어)를 참조하십시오. 

영문 원본 :Statistical Validation of the IE8 XSS Filter

업데이트 일자 : 2008 년 9 월 29 일