$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

HTML5를 이용한 자바스크립트 기반 공격 기법 연구 원문보기

情報保護學會誌 = KIISC review, v.25 no.5, 2015년, pp.74 - 80  

윤수진 (한국인터넷진흥원 모바일보안기술개발팀) ,  정종훈 (한국인터넷진흥원 모바일보안기술개발팀) ,  김환국 (한국인터넷진흥원 모바일보안기술개발팀)

초록
AI-Helper 아이콘AI-Helper

HTML5가 발표되고, 웹상에서 HTML5 신요소와 자바스크립트를 이용한 다양한 기능 구현이 가능하게 되었다. 기존 웹에서는 외부 플러그인을 이용하여야 가능했던 기능들이 웹의 자체 기능으로 구현이 가능해졌다. 하지만 이로 인해 기존에 플러그인인 ActiveX, Flash를 이용했던 공격 대신 HTML5와 자바스크립트를 이용한 공격이 주목 받고 있다. 본 논문에서는 HTML5와 자바스크립트를 이용한 공격들을 살피고, 공격의 파급력과 대책의 중요성을 확인한다.

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 본 논문에서는 HTML5를 이용한 공격들에 대해 살펴보았다. 대부분의 공격은 웹 사이트 사용을 저해하거나, 사용자의 정보를 유출하는 공격이다.
  • 본 논문에서는 기존에 발표된 HTML5와 자바스크립트 공격을 이용하여, 위험성을 지적한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
HTML이란 무엇인가? HTML은 웹 페이지를 작성하기 위한 언어로, 대부분의 웹 페이지가 HTML을 이용하여 작성된다. 웹 사용은 점점 증가하였고, HTML의 사용도 증가했다.
HTML5은 어떠한 장점으로 기존 HTML4 문서를 대체하고 있는가? 다양한 기능을 추가 플러그인 없이 구현할 수 있다는 장점으로 HTML5는 기존 HTML4 문서를 대체하고 있다. 하지만 이런 다양한 기능을 악용한 공격과 공격 시도들이 증가하고 있다.
WebSocket 데이터 탈취는 어떻게 이루어지는가? [4] onmessage 핸들러는 WebSocket으로부터 데이터를 받는 이벤트를 관리하는 핸들러이다. 공격자는 onmessage 핸들러를 이중으로 정의하여 정상 사이트의 핸들러 기능을 무력화하교, 공격자가 정의한 핸들러를 통해 정보를 빼낼 수 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (14)

  1. https://html5sec.org/ 

  2. TrandLabs, HTML5 OVERVIEW, TrendMICRO, 2011 

  3. Shreeraj Shah, HTML5 Top 10 Threats Stealth Attacks and Silent Exploits, Blackhat EU, 2012 

  4. KISA, HTML5 개발자를 위한 정보보호 안내서, Dec 2014. 

  5. Paul Stone, Next Generation Clickjacking, Blackhat EU, 2010 

  6. http://www.christian-schneider.net/CrossSiteWebSocketHijacking.html 

  7. https://html5sec.org/keylogger/ 

  8. Vulnerability Summary for CVE-2011-3663, NVD, https://web.nvd.nist.gov/view/vuln/detail?vulnIdCVE-2011-3663 

  9. M. Heiderich, Scriptless attacks Stealing more pie without touching the sill, Journal of Computer Security, p.567-599, July 2014. 

  10. andlabs, JS-RECONHTML5 based JavaScript Network Reconnaissance Tool, http://www.andlabs.org/tools/jsrecon.html 

  11. http://www.w3.org/TR/IndexedDB/ 

  12. andlabs, Chrome and Safari users open to stealth HTML5 AppCache attack, http://blog.andlabs.org/2010/06/chrome-and-safari-users-open-to-stealth.html, June 2010. 

  13. Kuppan, Attacking with HTML5, Blackhat, 2010 

  14. Feross Aboukhadijeh, Introducing the HTML5 Hard Disk FilleTM API,http://feross.org/fill-disk/, Feb 2013. 

저자의 다른 논문 :

LOADING...

관련 콘텐츠

섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로