원문정보
초록
영어
This paper addresses the increasing cyber attacks exploiting security vulnerabilities in software due to the rise in web a pplications. CSRF (Cross-Site Request Forgery) attacks pose a serious threat to web users and developers and must be pr evented in advance. CSRF involves performing malicious requests without the user's consent, making protection methods c rucial for web applications. This study compares and verifies the CSRF defense performance of two frameworks, Spring Se curity and Apache Shiro, to propose an effectively applicable framework. The results show that both frameworks successfu lly defend against CSRF attacks; however, Spring Security processes requests faster, averaging 2.55 seconds compared to Apache Shiro's 5.1 seconds. This performance difference stems from variations in internal processing methods and optimiza tion levels. Both frameworks showed no significant differences in resource usage. Therefore, Spring Security is more suita ble for environments requiring high performance and efficient request processing, while Apache Shiro needs improvement. These findings are expected to serve as valuable references for designing web application security architectures
한국어
본 논문은 웹 애플리케이션의 증가로 인해 소프트웨어 내 보안 취약점을 이용한 사이버 공격이 증가하고 있다. CSRF(Cros s-Site Request Forgery) 공격은 특히 웹 사용자와 개발자에게 심각한 위협으로, 사전에 예방해야하는 공격이다. CSRF는 사용 자의 동의 없이 비정상적인 요청을 통해 공격을 수행하는 기법으로, 이러한 공격으로부터 웹 애플리케이션을 보호하기 위한 방법은 매우 중요하다. 본 논문에서는 Spring Security와 Apache Shiro 두 프레임워크를 통해 CSRF 방어에 대한 성능을 비교 분석하고 검증하여, 효과적으로 적용 가능한 프레임워크를 제안한다. 실험 결과, 두 프레임워크 모두 CSRF 공격 방어에 성공 하였으나, Spring Security는 평균 2.55초로 Apache Shiro의 5.1초보다 더 빠르게 요청을 처리하였다. 이러한 성능 차이는 내부 처리 방식과 최적화 수준의 차이에서 비롯되었으며, 시스템 자원 사용 측면에서는 두 프레임워크 간에 차이가 없었다. 따라서 높은 성능과 효율적인 요청 처리가 요구되는 환경에서는 Spring Security가 더 적합하며, Apache Shiro는 개선이 필요하다. 이 결과는 웹 애플리케이션의 보안 아키텍처 설계 시 중요한 참고 자료로 활용되기를 기대한다.
목차
ABSTRACT
1. 서론
2. CSRF 공격 방법
2.1 일반적인 요청
2.2 CSRF의 요청
3. CSRF 방어 모델
3.1 개요
3.2 스프링 시큐리티
3.3 아파치 시로
4. 실험 및 평가
4.1 평가 환경
4.2 평가 기구
4.3 평가 방법
4.4 보안 성능 평가
4.5 스프링 시큐리티 구조분석
4.6 아파치 시로 SecurityManager 구조분석
4.7 CSRF 방어
5. 결론
참고문헌