서지주요정보
Exploiting web push notification features in third-party push services = 제 3자 푸시 서비스의 웹 푸시 알림 기능 공격
서명 / 저자 Exploiting web push notification features in third-party push services = 제 3자 푸시 서비스의 웹 푸시 알림 기능 공격 / Hayeon Kim.
저자명 Kim, Hayeon ; 김하연
발행사항 [대전 : 한국과학기술원, 2019].
Online Access 원문보기 원문인쇄

소장정보

등록번호

8033842

소장위치/청구기호

학술문화관(도서관)2층 패컬티라운지(학위논문)

MCS 19011

SMS전송 소장위치

도서상태

이용가능

대출가능

반납예정일

초록정보

Web push notification is a new feature of Web application designed to engage with the users. As Web push notification gained popularity, growing number of websites deployed Web push notification and various third-party push services which provide easy deployment emerged. Third-party push services (or push libraries) provide a convenient and fast way of enabling push notifications at the website. Despite the vast attention that Web push notifications have gained, there has been no research on current deployment status or security and privacy risks brought by Web push notification. In this paper, we conducted the systematic study of the security and privacy aspects of Web push notification that arise from third-party push services. We investigated design flaws in popular thirdparty push services that introduce new attacks; permission delegation and domain name spoofing attack. We demonstrated the attacks on real-world websites that are using vulnerable third-party services. We identified current Web push deployment status in Alexa top 100,000 websites and confirmed that 86.9% of sites use third-party push services to deploy Web push notification. Defenses and recommendations to mitigate the identified security and privacy risks are suggested with in-depth understanding.

웹 푸시 알림은 사용자와 소통하도록 설계된 웹 응용 프로그램의 새로운 기능이다. 웹 푸시 알림이 인기를 얻으면서 웹 푸시 알림을 사용하는 웹 사이트가 늘어나고 쉬운 배포를 제공하는 다양한 제 3자 푸시 서비스가 등장하였다. 제 3자 푸시 서비스 (또는 푸시 라이브러리)는 웹 사이트에서 푸시 알림을 편리하고 신속하게 사용 할 수 있는 방법을 제공한다. 하지만 웹 푸시 알림에 대한 많은 관심에도 불구하고 현재 얼마나 많은 사이트가 웹 푸시 알림을 사용하는지, 또는 웹 푸시 알림에 의한 보안 및 개인 정보 위험에 대한 연구는 진행된 바 없다. 이 논문에서는 제 3자 푸시 서비스 사용으로 인한 웹 푸시 알림의 보안 및 개인 정보 보호 측면에 대한 체계적인 연구를 수행하였다. 우리는 새로운 공격인 권한 위임 (permission delegation) 및 도메인 이름 스푸핑 (domain name spoofing) 공격을 가능하게 하는 제 3자 푸시 서비스의 설계 결함을 조사하였다. 또한 취약한 푸시 서비스를 사용하는 실제 웹 사이트에 대한 공격을 시연하였다. Alexa 상위 10만 개의 웹 사이트에서 현재 웹 푸시 사용 상태를 조사했으며 86.9%의 사이트에서 제 3자 푸시 서비스를 사용하여 웹 푸시 알림을 구현하고 있음을 확인하였다. 이해를 통해 보안 및 개인 정보 위험을 완화하기위한 방어 및 권장 사항을 제시하였다.

서지기타정보

서지기타정보
청구기호 {MCS 19011
형태사항 iv, 26 p. : 삽도 ; 30 cm
언어 영어
일반주기 저자명의 한글표기 : 김하연
지도교수의 영문표기 : Insik Shin
지도교수의 한글표기 : 신인식
학위논문 학위논문(석사) - 한국과학기술원 : 전산학부,
서지주기 References : p. 22-25
주제 Web application security
web push notification
phishing
spoofing attacks
웹 어플리케이션 보안
웹 푸시 알림
피싱
스푸핑 공격
QR CODE qr code