Review of KIISC (정보보호학회지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지

HTML5를 이용한 자바스크립트 기반 공격 기법 연구

  • 윤수진 (한국인터넷진흥원 모바일보안기술개발팀) ;
  • 정종훈 (한국인터넷진흥원 모바일보안기술개발팀) ;
  • 김환국 (한국인터넷진흥원 모바일보안기술개발팀)
  • Published : 2015.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

HTML5가 발표되고, 웹상에서 HTML5 신요소와 자바스크립트를 이용한 다양한 기능 구현이 가능하게 되었다. 기존 웹에서는 외부 플러그인을 이용하여야 가능했던 기능들이 웹의 자체 기능으로 구현이 가능해졌다. 하지만 이로 인해 기존에 플러그인인 ActiveX, Flash를 이용했던 공격 대신 HTML5와 자바스크립트를 이용한 공격이 주목 받고 있다. 본 논문에서는 HTML5와 자바스크립트를 이용한 공격들을 살피고, 공격의 파급력과 대책의 중요성을 확인한다.

Keywords

References

  1. https://html5sec.org/
  2. TrandLabs, HTML5 OVERVIEW, TrendMICRO, 2011
  3. Shreeraj Shah, HTML5 Top 10 Threats Stealth Attacks and Silent Exploits, Blackhat EU, 2012
  4. KISA, HTML5 개발자를 위한 정보보호 안내서, Dec 2014.
  5. Paul Stone, Next Generation Clickjacking, Blackhat EU, 2010
  6. http://www.christian-schneider.net/CrossSiteWebSocketHijacking.html
  7. https://html5sec.org/keylogger/
  8. Vulnerability Summary for CVE-2011-3663, NVD, https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3663
  9. M. Heiderich, Scriptless attacks Stealing more pie without touching the sill, Journal of Computer Security, p.567-599, July 2014.
  10. andlabs, JS-RECONHTML5 based JavaScript Network Reconnaissance Tool, http://www.andlabs.org/tools/jsrecon.html
  11. http://www.w3.org/TR/IndexedDB/
  12. andlabs, Chrome and Safari users open to stealth HTML5 AppCache attack, http://blog.andlabs.org/2010/06/chrome-and-safari-users-open-to-stealth.html, June 2010.
  13. Kuppan, Attacking with HTML5, Blackhat, 2010
  14. Feross Aboukhadijeh, Introducing the HTML5 Hard Disk FilleTM API,http://feross.org/fill-disk/, Feb 2013.