DOI QR코드

DOI QR Code

Analysis and Verification for Cloud Services in Microsoft

마이크로소프트 클라우드 서비스 안정성 점검 및 분석

  • Young-Min Kim (Dept. of Software, Sung-Kyun-Kwan University) ;
  • Hyoung-Kee Choi (College of Computing and Informatics, Sung-Kyun-Kwan University)
  • 김영민 (성균관대학교 소프트웨어학과) ;
  • 최형기 (성균관대학교 소프트웨어융합대학)
  • Published : 2024.05.23

Abstract

OneDrive 는 Microsoft 에서 제공하는 클라우드 스토리지 서비스이다. OneDrive 데스크톱 앱은 사용자가 로그아웃한 이후 재로그인을 시도할 때 사용자 기기에 저장되어 있던 토큰을 사용해 로그인을 진행하며, 사용자의 패스워드를 추가로 요구하지 않는다. 이는 로그아웃한 사용자의 유효한 로그인 정보가 기기에 남아있음을 의미하며, 본 연구에서는 이를 활용해 OneDrive 의 토큰 저장소를 분석하고 토큰 이식 공격이 가능함을 보인다.

Keywords

References

  1. Or Yair, "One Drive, Double Agent: Clouded OneDrive Turns Sides", Blackhat USA, Las Vegas, 2023