The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지
DOI QR코드

DOI QR Code

Possibility of Disclosure of User Information in Internet Explorer

인터넷 익스플로러에서 사용자 정보 유출 가능성

  • 이상호 (인하대학교 컴퓨터정보공학부 정보보호 연구실) ;
  • 맹영재 (한국전자통신연구원 부설연구소) ;
  • 양대헌 (인하대학교 컴퓨터정보공학부) ;
  • 이경희 (수원대학교 전기공학과)
  • Received : 2013.10.04
  • Accepted : 2013.12.06
  • Published : 2013.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

Internet Explorer is the popular internet browser the most in domestic. In some version of Internet Explorer, user information could be leaked cause CORS(Cross-Origin Resource Sharing) Internet Explorer support. Different before, without setup a malicious program, attacker can get the user information even account information, credit card usage list and user information with SNS or internet portal site logged in regardless of secure program. Not only Internet Explorer but also mobile browser, it could be. In this paper, we make study of the potential disclosure of user information by attack using CORS, second attack and the way to improvement of vulnerability of CORS.

국내 인터넷 브라우저 시장 점유율 1위인 인터넷 익스플로러의 일부 버전에서 CORS(Cross-Origin Resource Sharing)를 이용한 사용자 정보의 유출이 가능함을 확인하였다. 이는 이전의 방법과는 달리 악성 프로그램 등의 설치 없이도 로그인한 계정의 정보를 유출할 수 있으며, 이를 이용하면 보안 프로그램의 영향을 받지 않고서도 SNS와 포털 사이트의 사용자 정보 혹은 계좌 정보나 카드 사용내역까지 얻을 수 있다. 인터넷 익스플로러 뿐만 아니라 일부 모바일 브라우저에서도 CORS를 이용한 공격이 가능함을 보였다. 이 논문에서는 인터넷 익스플로러로 접속한 은행사, 카드사, SNS, 포털 사이트를 대상으로 한 CORS를 이용한 공격으로 사용자 정보의 유출은 물론 2차 공격으로 이어질 수 있는 가능성과 개선방안을 살펴본다.

Keywords

References

  1. Korea Communications Commission, The number of consultation about abused personal information(2013), retrieved Sep., 15, 2013, from http://www.index.go.kr/egams/stts/jsp/potal/stts/PO_STTS_IdxMain.jsp?idx_cd=1366&bbs=INDX_001&clas_div=A.
  2. J. Lam and J. B. Ullrich, Cross Site Request Forgery: What Attackers Don't Want You to Know(2013), Retrieved Sep., 15, 2013, from http://www.sans.org/reading-room/whitepapers/application/appsec-cross-site-request-forgery-attackers-33108.
  3. World Wide Web Consortium, Cross-Origin Resource Sharing(2012), Retrieved Sep., 15, 2013, from http://www.w3.org/TR/2012/WD-cors-20120403/.
  4. StatCounter, Top 5 Browsers in South Korea on Dec 2012(2013), Retrieved Sep., 15, 2013, from http://gs.statcounter.com/?chart_type=line&statType_hidden=browser®ion=Worldwide®ion_hidden=ww#browser-KR-monthly-201212-201212-bar.
  5. Korea Communications Commision, Wired and wireless communication service subscriber statistics(2013), Retrieved Sep., 15, 2013, from http://www.kcc.go.kr/user.do?mode=view&page=A02060400&dc=60400&dc=&boardId=1030&boardSeq=36008.
  6. KISA, A Study on Prevention of Infringement of Web Sites for Mobile Access Environment(2010), Retrieved Sep., 15, 2013, from http://www.kisa.or.kr/public/library/reportView.jsp?regno=017161&pageIndex=13&searchType=&searchKeyword=.