브라우저 보안

Browser security

브라우저 보안인터넷 보안을 웹 브라우저에 적용하여 네트워크로 연결된 데이터와 컴퓨터 시스템을 개인 정보나 악성 프로그램의 침해로부터 보호하는 것입니다. 브라우저의 보안 공격은 종종 자바스크립트를 사용하며, 때때로 어도비 플래시를 사용하여 보조 페이로드와 교차 사이트 스크립팅([1]XSS)을 함께 사용합니다.[2] 또한 보안 공격은 모든 브라우저(Google [3]Chrome, Microsoft Internet Explorer, Mozilla Firefox,[4][5][6] OperaSafari[7] 포함)에서 일반적으로 이용되는 취약성(보안 구멍)을 이용할 수 있습니다.

보안.

웹 브라우저는 다음 중 하나 이상의 방법으로 위반될 수 있습니다.

  • 운영 체제가 침해되고 권한 모드에서[8] 악성 프로그램이 브라우저 메모리 공간을 읽거나 수정하는 중
  • 운영 체제에 백그라운드 프로세스로 실행되는 악성 프로그램이 있으며, 이는 권한 있는 모드에서 브라우저 메모리 공간을 읽거나 수정하는 것입니다.
  • 메인 브라우저 실행 파일이 해킹될 수 있습니다.
  • 브라우저 구성 요소가 해킹될 수 있음
  • 브라우저 플러그인이 해킹될 수 있음
  • 브라우저 네트워크 통신이 기기[9] 외부에서 차단될 수 있음

브라우저는 위의 위반 사항을 인식하지 못할 수 있으며 사용자에게 안전한 연결이 이루어졌음을 보여줄 수 있습니다.

브라우저가 웹 사이트와 통신할 때마다 웹 사이트는 해당 통신의 일부로 브라우저에 대한 일부 정보를 수집합니다(다른 것은 몰라도 전달할 페이지의 형식을 처리하기 위해).[10] 웹 사이트의 내용에 악성 코드가 삽입되었거나 최악의 경우 해당 웹 사이트가 악성 코드를 호스팅하도록 특별히 설계된 경우 특정 브라우저에 특정한 취약성으로 인해 이 악성 코드가 의도하지 않은 방법으로 브라우저 응용 프로그램 내에서 프로세스를 실행할 수 있습니다(그리고 기억하십시오). 웹사이트가 브라우저 통신에서 수집하는 정보의 일부는 브라우저의 ID(특정 취약성을 이용할 수 있도록 허용)입니다.[11] 일단 공격자가 방문자의 기계에서 프로세스를 실행할 수 있게 되면, 알려진 보안 취약성을 이용하면 공격자가 infected 시스템에 대한 권한 있는 액세스 권한을 얻을 수 있습니다(브라우저가 권한 있는 액세스 권한으로 실행되지 않는 경우). 이를 통해 시스템 또는 피해자의 전체 네트워크에서 훨씬 더 다양한 악성 프로세스 및 활동을 수행할 수 있습니다.

웹 브라우저 보안 위반은 일반적으로 인터넷 마케팅 또는 개인 정보 도용을 위해 개인 식별 정보(PII)를 수집하는 팝업 광고[13], 웹 버그, 클릭재킹, 같은 도구를 사용하여 사용자에 대한 웹 추적 또는 웹 분석을 표시하는 보호를 우회하기 위한 목적입니다. Likejacking (where Facebook's like button is targeted),[14][15][16][17] HTTP cookies, zombie cookies or Flash cookies (Local Shared Objects or LSOs);[2] installing adware, viruses, spyware such as Trojan horses (to gain access to users' personal computers via cracking) or other malware including online banking theft using man-in-the-browser attacks.

Chrome 웹 브라우저의 취약성에 대한 심층 연구에 따르면 보안 취약성의 가장 큰 원인은 부적절한 입력 유효성 검사(CWE-20)와 부적절한 액세스 제어(CWE-284)입니다.[18] 또한 본 연구 당시 조사된 취약점 중 Chrome에서 취약한 버전의 타사 라이브러리를 재사용 또는 가져오기 때문에 106개의 취약점이 발생하였습니다.

웹 브라우저 소프트웨어 자체의 취약성은 브라우저 소프트웨어 업데이트를 유지함으로써 최소화할 수 있지만,[19] 기본 운영 체제가 루트킷에 의해 손상되는 경우에는 충분하지 않습니다.[20] 스크립팅, 추가 기능 및 쿠키와[21][22][23] 같은 브라우저의 일부 하위 구성 요소는 특히 취약하며("혼란스러운 부제 문제") 해결해야 합니다.

심층 방어 원칙에 따라 완전히 패치되고 올바르게 구성된 브라우저로는 브라우저 관련 보안 문제가 발생하지 않도록 보장하기에 충분하지 않을 수 있습니다. 예를 들어, 루트킷은 누군가가 은행 웹사이트에 로그인하는 동안입력을 캡처하거나 웹 브라우저를 오가는 네트워크 트래픽을 수정하여 중간자 공격을 수행할 수 있습니다. DNS 하이재킹 또는 DNS 스푸핑은 잘못된 웹 사이트 이름에 대한 잘못된 긍정을 반환하거나 인기 검색 엔진에 대한 검색 결과를 전복하는 데 사용될 수 있습니다. RSPlug와 같은 멀웨어는 단순히 시스템의 구성을 수정하여 악성 DNS 서버를 가리킵니다.

브라우저는 보다 안전한 네트워크 통신 방법을 사용하여 다음과 같은 공격을 방지할 수 있습니다.

일반적으로 방화벽을 통한 주변 방어와 악성 웹 사이트를 차단하고 파일 다운로드에 대한 바이러스 검사를 수행하는 프록시 서버 필터링 사용은 일반적으로 브라우저에 도달하기 전에 악성 네트워크 트래픽을 차단하는 모범 사례로 구현됩니다.

브라우저 보안에 대한 주제는 브라우저와 네트워크 시스템의 취약성을 테스트하기 위해 표면적으로는 브라우저 보안을 위반하기 위한 도구를 수집하기 [24]위한 플랫폼을 만드는 브라우저 공격 프레임워크 프로젝트와 같은 조직 전체의 생성을 촉발할 정도로 커졌습니다.

플러그인 및 확장

브라우저 자체에는 포함되지 않지만 브라우저 플러그인 및 확장 기능이 공격 표면을 확장하여 일반적으로 악용되는 Adobe Flash Player, Adobe(Acrobat) Reader, Java 플러그인ActiveX의 취약성을 노출합니다. 연구원들은[25] 특히 플러그 앤 플레이 설계에 의존하는 다양한 웹 브라우저의 보안 아키텍처를 광범위하게 연구했습니다. 이 연구는 16개의 일반적인 취약성 유형과 19개의 잠재적 완화를 확인했습니다. 멀웨어는 Internet Explorer의 경우 브라우저 도우미 개체와 같이 브라우저 확장으로도 구현될 수 있습니다.[26] 다른 다양한 공격 웹 사이트에서는 정품처럼 보이도록 설계되었으며 악성 '업데이트 어도비 플래시' 팝업을 포함하여 악성 프로그램 페이로드를 다운로드하기 위한 시각적 단서로 설계되었습니다.[27] Google Chrome 및 Mozilla Firefox와 같은 일부 브라우저는 안전하지 않은 플러그인을 차단하거나 사용자에게 경고할 수 있습니다.

어도비 플래시

주 기사: 로컬 공유 개체 § 개인 정보 보호 문제

2009년 8월 사회과학연구네트워크의 연구에 따르면 플래시를 사용하는 웹사이트의 50%가 플래시 쿠키를 사용하고 있지만 개인정보 보호 정책은 이를 거의 공개하지 않았으며 개인정보 보호 선호에 대한 사용자 통제가 부족했습니다.[28] 대부분의 브라우저의 캐시 및 히스토리 삭제 기능은 플래시 플레이어가 로컬 공유 개체를 자체 캐시에 쓰는 데 영향을 미치지 않으며 사용자 커뮤니티는 HTTP 쿠키보다 플래시 쿠키의 존재와 기능에 대한 인식이 훨씬 낮습니다.[29] 따라서 HTTP 쿠키를 삭제하고 브라우저 기록 파일 및 캐시를 삭제한 사용자는 플래시 검색 기록이 남아 있는 동안 컴퓨터에서 모든 추적 데이터를 삭제했다고 생각할 수 있습니다. 수동 제거뿐만 아니라 Firefox용 BetterPrivacy 추가 기능을 사용하면 플래시 쿠키를 제거할 수 있습니다.[2] Adblock Plus는 특정 위협을 필터링하는[13] 데 사용할 수 있으며 Flashblock은 신뢰할 수 없는 사이트에 콘텐츠를 허용하기 전에 옵션을 제공하는 데 사용할 수 있습니다.[30]

Charlie Miller컴퓨터 보안 컨퍼런스인 CanSecWest에서 "Flash를 설치하지 마십시오"[31]라고 권장했습니다. 다른 여러 보안 전문가들도 Adobe Flash Player를 설치하지 않거나 차단할 것을 권장합니다.[32]

비밀번호보안모델

웹 페이지의 내용은 주소 표시줄에 표시된 도메인을 소유한 엔티티에 의해 임의로 제어됩니다. HTTPS가 사용되는 경우 암호화를 사용하여 네트워크에 액세스할 수 있는 공격자가 페이지 내용을 변경하지 않도록 보호합니다. 웹 페이지에 암호 필드가 표시되면 사용자는 주소 표시줄을 보고 주소 표시줄의 도메인 이름이 암호를 보내는 올바른 위치인지 여부를 확인해야 합니다.[33] 예를 들어, 구글의 단일 인증 시스템(예: youtube.com 에서 사용)의 경우, 사용자는 암호를 입력하기 전에 주소 표시줄에 "https://accounts.google.com "이라고 표시되어 있는지 항상 확인해야 합니다.

손상되지 않은 브라우저는 주소 표시줄이 정확하다는 것을 보장합니다. 이 보증은 일반적으로 브라우저가 전체 화면 모드에 진입할 때 주소 표시줄이 일반적으로 있는 위치 위에 경고를 표시하여 전체 화면 웹 사이트가 가짜 주소 표시줄로 가짜 브라우저 사용자 인터페이스를 만들 수 없는 이유 중 하나입니다.[34]

하드웨어 브라우저

쓰기 불가능한 읽기 전용 파일 시스템에서 실행되는 하드웨어 기반 브라우저를 마케팅하려는 시도가 있었습니다. 장치에 데이터를 저장할 수 없고 미디어를 덮어쓸 수도 없으며 로드할 때마다 실행 파일이 깔끔하게 표시됩니다. 그러한 첫 번째 장치는 2013년 말에 출시된 제우스가드 보안 하드웨어 브라우저였습니다. 제우스가든 웹사이트는 2016년 중반 이후로 기능을 하지 못하고 있습니다. 2019년 1월 12일 웨이백 머신(Wayback Machine)에 보관아이클로크 웹사이트의 아이클로크® 스틱(Stik)은 컴퓨터의 전체 운영 체제를 완전히 대체하고 읽기 전용 시스템에서 두 개의 웹 브라우저를 제공하는 완전한 라이브 OS를 제공합니다. 아이클로크를 사용하면 익명 브라우징을 위한 Tor 브라우저와 익명 브라우징을 위한 일반 파이어폭스 브라우저를 제공합니다. 보안되지 않은 웹 트래픽(예: https를 사용하지 않음)은 여전히 중간 관리자 변경 또는 기타 네트워크 트래픽 기반 조작의 대상이 될 수 있습니다.

라이브CD

쓰기 불가능한 소스에서 운영 체제를 실행하는 LiveCD는 일반적으로 기본 이미지의 일부로 웹 브라우저와 함께 제공됩니다. 원본 LiveCD 이미지에 멀웨어가 없는 경우 웹 브라우저를 포함하여 사용되는 모든 소프트웨어는 LiveCD 이미지가 부팅될 때마다 멀웨어가 없는 상태로 로드됩니다.

브라우저 강화

최소 권한 사용자 계정으로 인터넷을 검색하면(즉, 관리자 권한 없이) 웹 브라우저의 보안 공격 기능이 전체 운영 체제를 손상시키는 것을 제한할 수 있습니다.[35]

Internet Explorer 4 이상에서는 다양한 방법으로 ActiveX 컨트롤, 추가 기능 및 브라우저 확장을 블록[36][37][38] 목록화하고 목록화할[39][40] 수 있습니다.

인터넷 익스플로러 7윈도우 비스타의 필수 무결성 제어라는 보안 샌드박스 기능을 적용해 브라우저를 강화하는 기술인 "보호 모드"를 추가했습니다.[41] 구글 크롬은 운영체제에 대한 웹 페이지 접근을 제한하기 위해 샌드박스를 제공합니다.[42]

Google에 [43]보고되고 Google에서 확인한 악성 프로그램 의심 사이트는 특정 브라우저에서 호스팅 악성 프로그램으로 플래그 지정됩니다.[44]

최신 브라우저도 강화할 수 있는 타사 확장 및 플러그인이 있으며 [45]일부는 이전 브라우저 및 운영 체제용으로 사용할 수 있습니다. 노스크립트와 같은 화이트리스트 기반 소프트웨어는 개인 정보 보호에 대한 대부분의 공격에 사용되는 자바스크립트와 어도비 플래시를 차단할 수 있으므로 사용자가 안전하다고 알고 있는 사이트만 선택할 수 있습니다. 애드블록 플러스는 화이트리스트 광고 필터링 규칙 구독도 사용합니다. 소프트웨어 자체와 필터링 목록 유지 관리자 모두 일부 사이트에서 사전 설정된 필터를 통과하도록 허용하는 기본값으로 인해 논란이 되고 있습니다.[46] US-CERTNoScript를 사용하여 Flash를 차단할 것을 권장합니다.[47]

퍼징

최신 웹 브라우저는 취약점을 찾기 위해 광범위한 퍼징을 거칩니다. 구글 크롬크롬 코드는 15,000개의 코어를 가진 크롬 보안팀에 의해 지속적으로 퍼징되고 있습니다.[48] Microsoft EdgeInternet Explorer의 경우, Microsoft는 제품 개발 기간 동안 670개의 기계로 퍼지 테스트를 수행하여 10억 개의 HTML 파일에서 4,000억 개 이상의 DOM 조작을 생성했습니다.[49][48]

모범사례

  • 깨끗한 소프트웨어 로드: 알려진 깨끗한 웹 브라우저가 있는 알려진 깨끗한 OS에서 부팅
  • 타사 소프트웨어를 통한 공격 방지: 강화된 웹 브라우저 또는 추가 기능 자유 검색 모드 사용
  • DNS 조작 방지: 신뢰할 수 있고 안전한 DNS[50] 사용
  • 웹 사이트 기반 악용 방지: 인터넷 보안 소프트웨어에서 흔히 볼 수 있는 링크 검사 브라우저 플러그인 사용
  • 악의적인 콘텐츠 방지: 주변 방어 및 악성 소프트웨어 방지 사용

참고 항목

참고문헌

  1. ^ Maone, Giorgio. "NoScript :: Add-ons for Firefox". Mozilla Add-ons. Mozilla Foundation.
  2. ^ a b c "BetterPrivacy :: Add-ons for Firefox". Mozilla Foundation.[영구적 데드링크]
  3. ^ Messmer, Ellen and Network World "구글 크롬, '더티 도즈' 취약목록 1위"[permanent dead link] 2010년 11월 19일 검색.
  4. ^ 브래들리, 토니. 2012년 10월 15일 Wayback Machine보관 "It's Drop Internet Explorer 6(인터넷 익스플로러 6)" 2010년 11월 19일 검색.
  5. ^ 키저, 그렉. Firefox 3.5 취약성 확인 2010년 10월 28일 Wayback Machine에서 아카이브됨. 2010년 11월 19일 검색.
  6. ^ 스키너, 캐리 앤. 2009년 5월 20일 웨이백 머신에서 오페라 플러그 "심각" 브라우저 구멍 아카이브. 2010년 11월 19일 검색.
  7. ^ "Browser". Mashable. Archived from the original on 2 September 2011. Retrieved 2 September 2011.
  8. ^ Smith, Dave (21 March 2013). "The Yontoo Trojan: New Mac OS X Malware Infects Google Chrome, Firefox And Safari Browsers Via Adware". IBT Media Inc. Archived from the original on 24 March 2013. Retrieved 21 March 2013.
  9. ^ Goodin, Dan. "MySQL.com breach leaves visitors exposed to malware". The Register. Archived from the original on 28 September 2011. Retrieved 26 September 2011.
  10. ^ Clinton Wong. "HTTP Transactions". O'Reilly. Archived from the original on 13 June 2013.
  11. ^ "9 Ways to Know Your PC is Infected with Malware". Archived from the original on 11 November 2013.
  12. ^ "Symantec Security Response Whitepapers". Archived from the original on 9 June 2013.
  13. ^ a b Palant, Wladimir. "Adblock Plus :: Add-ons for Firefox". Mozilla Add-ons. Mozilla Foundation.
  14. ^ "Facebook privacy probed over 'like,' invitations". CBC News. 23 September 2010. Archived from the original on 26 June 2012. Retrieved 24 August 2011.
  15. ^ Albanesius, Chloe (19 August 2011). "German Agencies Banned From Using Facebook, 'Like' Button". PC Magazine. Archived from the original on 29 March 2012. Retrieved 24 August 2011.
  16. ^ McCullagh, Declan (2 June 2010). "Facebook 'Like' button draws privacy scrutiny". CNET News. Archived from the original on 5 December 2011. Retrieved 19 December 2011.
  17. ^ Roosendaal, Arnold (30 November 2010). "Facebook Tracks and Traces Everyone: Like This!". SSRN 1717563.
  18. ^ Santos, J. C. S.; Peruma, A.; Mirakhorli, M.; Galstery, M.; Vidal, J. V.; Sejfia, A. (April 2017). "Understanding Software Vulnerabilities Related to Architectural Security Tactics: An Empirical Investigation of Chromium, PHP and Thunderbird". 2017 IEEE International Conference on Software Architecture (ICSA). pp. 69–78. doi:10.1109/ICSA.2017.39. ISBN 978-1-5090-5729-0. S2CID 29186731.
  19. ^ State of Vermont. "Web Browser Attacks". Archived from the original on 13 February 2012. Retrieved 11 April 2012.
  20. ^ "Windows Rootkit Overview" (PDF). Symantec. Archived from the original (PDF) on 16 May 2013. Retrieved 20 April 2013.
  21. ^ "Cross Site Scripting Attack". Archived from the original on 15 May 2013. Retrieved 20 May 2013.
  22. ^ Lenny Zeltser. "Mitigating Attacks on the Web Browser and Add-Ons". Archived from the original on 7 May 2013. Retrieved 20 May 2013.
  23. ^ Dan Goodin (14 March 2013). "Two new attacks on SSL decrypt authentication cookies". Archived from the original on 15 May 2013. Retrieved 20 May 2013.
  24. ^ "beefproject.com". Archived from the original on 11 August 2011.
  25. ^ Santos, Joanna C. S.; Sejfia, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (2019). "Achilles' heel of plug-and-Play software architectures: A grounded theory based approach". Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering. ESEC/FSE 2019. New York, NY, US: ACM. pp. 671–682. doi:10.1145/3338906.3338969. ISBN 978-1-4503-5572-8. S2CID 199501995.
  26. ^ "How to Create a Rule That Will Block or Log Browser Helper Objects in Symantec Endpoint Protection". Symantec.com. Archived from the original on 14 May 2013. Retrieved 12 April 2012.
  27. ^ Aggarwal, Varun (30 April 2021). "Breaking: Fake sites of 50 Indian News portals luring gullible readers". Economic Times CIO. Archived from the original on 26 February 2023. Retrieved 26 February 2023.
  28. ^ Soltani, Ashkan; Canty, Shannon; Mayo, Quentin; Thomas, Lauren; Hoofnagle, Chris Jay (10 August 2009). "Soltani, Ashkan, Canty, Shannon, Mayo, Quentin, Thomas, Lauren and Hoofnagle, Chris Jay: Flash Cookies and Privacy". SSRN 1446862.
  29. ^ "Local Shared Objects -- "Flash Cookies"". Electronic Privacy Information Center. 21 July 2005. Archived from the original on 16 April 2010. Retrieved 8 March 2010.
  30. ^ Chee, Philip. "Flashblock :: Add-ons for Firefox". Mozilla Add-ons. Mozilla Foundation. Archived from the original on 15 April 2013.
  31. ^ "Pwn2Own 2010: interview with Charlie Miller". 1 March 2010. Archived from the original on 24 April 2011. Retrieved 27 March 2010.
  32. ^ "Expert says Adobe Flash policy is risky". 12 November 2009. Archived from the original on 26 April 2011. Retrieved 27 March 2010.
  33. ^ John C. Mitchell. "Browser Security Model" (PDF). Archived (PDF) from the original on 20 June 2015.
  34. ^ "Using the HTML5 Fullscreen API for Phishing Attacks » Feross.org". feross.org. Archived from the original on 25 December 2017. Retrieved 7 May 2018.
  35. ^ "Using a Least-Privileged User Account". Microsoft. 29 June 2009. Archived from the original on 6 March 2013. Retrieved 20 April 2013.
  36. ^ "How to Stop an ActiveX control from running in Internet Explorer". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
  37. ^ "Internet Explorer security zones registry entries for advanced users". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
  38. ^ "Out-of-date ActiveX control blocking". Microsoft. Archived from the original on 29 November 2014. Retrieved 22 November 2014.
  39. ^ "Internet Explorer Add-on Management and Crash Detection". Microsoft. 8 October 2009. Archived from the original on 29 November 2014. Retrieved 22 November 2014.
  40. ^ "How to Manage Internet Explorer Add-ons in Windows XP Service Pack 2". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
  41. ^ Matthew Conover. "Analysis of the Windows Vista Security Model" (PDF). Symantec Corporation. Archived from the original (PDF) on 16 May 2008. Retrieved 8 October 2007.
  42. ^ "Browser Security: Lessons from Google Chrome". Archived from the original on 11 November 2013.
  43. ^ "Report malicious software (URL) to Google". Archived from the original on 12 September 2014.
  44. ^ "Google Safe Browsing". Archived from the original on 14 September 2014.
  45. ^ "5 Ways to Secure Your Web Browser". ZoneAlarm. 8 May 2014. Archived from the original on 7 September 2014.
  46. ^ "Adblock Plus Will Soon Block Fewer Ads — SiliconFilter". Siliconfilter.com. 12 December 2011. Archived from the original on 30 January 2013. Retrieved 20 April 2013.
  47. ^ "Securing Your Web Browser". Archived from the original on 26 March 2010. Retrieved 27 March 2010.
  48. ^ a b Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (19 September 2017). "Browser Security WhitePaper" (PDF). X41D SEC GmbH. Archived (PDF) from the original on 1 February 2022. Retrieved 31 August 2018.
  49. ^ "Security enhancements for Microsoft Edge (Microsoft Edge for IT Pros)". Microsoft. 15 October 2017. Archived from the original on 1 September 2018. Retrieved 31 August 2018.
  50. ^ Pearce, Paul; Jones, Ben; Li, Frank; Ensafi, Roya; Feamster, Nick; Weaver, Nick; Paxson, Vern (2017). Global Measurement of {DNS} Manipulation. USENIX Association. pp. 307–323. ISBN 978-1-931971-40-9.

더보기