Read data from web via CSS Injection

Introduction CSS Injection은 간단히 말해서 웹 페이지에 CSS를 임의로 삽입하는 방식의 공격입니다. 웹 브라우저에 따라서는 CSS를 통해 JavaScript를 실행시킬 수 있는 경우도 있어, XSS (Cross Site Scripting)으로 연계될 수도 있습니다. 사실 예전엔 고작 CSS를 삽입하는 것만으로 무슨 공격을 할 수 있나 싶었습니다만, 올 해(2018년) 초에 Harekaze CTF에서 출제된 CSS Injection 관련 문제를 풀다보니 알게 되었습니다. 바로 CSS Injection을 통해 해당 페이지 내의 값을 읽을 수 있다는 것입니다. How [Read More]

What is Sandbox?

몇 달전에 데몬팀 지원으로 제로콘 2018 에 다녀왔었습니다. 제로콘 2018 에서는 주로 제로데이, 원데이 취약점들에 대한 발표를 주로 봤었습니다. (아직은 모두 이해하기에는 부족한 실력을 가지고) Sandbox? 발표 중에 자주 나온 용어가 바로 Sandbox 인데, 어디서 들어봤던 용어같으면서도 확실히는 모르겠어서 찾아보게 되었습니다. 먼저 Sandbox 라는 용어 자체는 아이들을 모래밭(Sandbox) 안에서만 놀도록 하는 것이 유래가 되었다고 합니다. 이 유래 그대로 컴퓨터 보안에 적용하여, 악성 프로그램으로 의심되는 프로그램을 따로 격리된 영역 안에서 [Read More]