XS-Leak 취약점 탐구 (1)

본문 바로가기

Notice

Recent Posts

Recent Comments

Link

블로그 이전

Tags more

Archives

Today

Total

관리 메뉴

exon

XS-Leak 취약점 탐구 (1) 본문

1인1프로젝트

XS-Leak 취약점 탐구 (1)

엑슨 2025. 3. 12. 14:24

거의 모든 CTF가 사용하는 대회 환경설정 플랫폼인 ctfd에서 발견된 취약점을 탐구해보도록 하겠다.

1. 간략히 자기소개하기(연구주제를 중심으로 – 동아리, 전공, 진로, 직업 등과 연결하여)
기존에 ST3P이라는 해킹 자율 동아리에 가입하여 WACON, CCE, Whitehat Contest 등 다양한 해킹대회에 참가하며 해킹 분야에 대한 관심과 흥미를 키워왔습니다. 대회 참여 과정에서 문제 해결 능력뿐만 아니라 다양한 해킹 기법과 최신 취약점 트렌드를 습득할 수 있었고, 이러한 경험을 바탕으로 지속적으로 성장하기 위해 노력했습니다. 또한 대회에서 풀었던 문제들의 풀이법을 정리하여 개인 블로그(https://blog.exon.kr/)에 꾸준히 게시하며 지식을 다른 사람들과 공유하고 소통하는 습관을 기르고자 했습니다. 특히, 다양한 해킹 분야 중에서도 현대 사회에서 거의 모든 사람들이 매일 사용하는 웹 분야의 보안 취약점과 공격 방법론에 깊은 흥미를 느끼게 되었고, 이에 웹 해킹에 대해 더 깊이 공부하기 시작했습니다. 평소에도 웹 해킹과 관련된 해외 유명 블로그나 커뮤니티에서 소개되는 최신 웹 취약점 사례와 분석 기법에 대한 글을 읽으며 보안 감각을 키우려고 노력했습니다. 이를 통해 다양한 웹 취약점에 대해 꾸준히 관심을 가지고 이해하려는 시도를 지속해왔습니다. 이러한 과정 중에 관심을 가지던 웹 기반 CTF 플랫폼인 CTFd에서 XS-leak 취약점이 발견되었다는 소식을 우연히 접하게 되었고, XS-leak이라는 생소하지만 흥미로운 취약점에 대해 깊은 호기심이 생겼습니다. 이후 XS-leak 취약점의 공격 원리, 발생 조건 및 구체적인 사례 등을 조사하며 관련 자료들을 폭넓게 수집했고, 이 취약점이 기존 웹 보안 이슈들과는 또 다른 관점의 독특한 공격 방법론을 제시한다는 점에서 연구 가치가 매우 높다는 것을 깨닫게 되었습니다. 그 결과 XS-leak 취약점을 본격적으로 연구 주제로 선정하여 CTFd 환경에서 직접 이를 탐구하고, 공격 가능성을 탐지 및 대응하는 연구를 목표로 하는 1인 1프로젝트를 시작하게 되었습니다.

2. 연구계획
연구주제	CTFd 환경에서의 XS-leak 기반 사이드채널 정보 유출 연구 및 실습
선정이유	수많은 해킹방어대회(CTF)에서 사용하는 CTFd 플랫폼에서 XS-leak 취약점이 발견됐다는 글을 보고 이에 흥미를 느껴 XS-leak 취약점을 직접 분석하고, 실습하고 싶었기 때문에 이 주제를 선정하였습니다.
연구내용	XS-leak 취약점에 대한 기본적인 발생 원인, 발생 조건 및 공격 원리를 분석하고, 이를 바탕으로 CTFd 환경에서 XS-leak 기반의 사이드채널 공격 시나리오를 분석, 설계한다. 설계된 공격 시나리오를 실제 CTFd 플랫폼에 구현하여 정보 유출 가능성을 실습을 통해 확인하고, 공격 탐지를 위한 주요 지표 및 방법론을 제시한다. 또한 XS-leak 공격을 효과적으로 방지할 수 있는 보안 개선책과 대응 방안을 도출하여 플랫폼의 안전성을 높이는 데 목적을 둔다.
연구방법	★ 구체적 연구방법 제시(멘토, 도서, 온라인강좌, 인터넷, 연구보고서, 논문, 학술지 등) ★ XS-leak 취약점에 관한 기본적인 내용 및 CTFd에서 발견된 취약점을 해외 블로그를 바탕으로 이해함. 또한 실제로 크롬의 XS-leak 취약점으로 사용자의 인터넷 기록을 알아낼 수 있는 취약점을 javascript, css, html을 사용하여 실습함.
연구일정	(3)월	XS-leak에 관한 기본적인 발생 원인, 발생 조건 및 공격 원리를 분석한다.
	(4)월	CTFd에서 실제로 발생한 XS-leak 취약점을 분석하고 탐구한다.
	(5)월	CTFd에서 실제로 발생한 취약점을 바탕으로 크롬의 XS-leak 취약점을 이용하여 사용자의 검색기록을 유출할 수 있는 프로젝트를 실습함.
	(6)월	최종발표[5분이내], 보고서 및 발표 PPT 제출

1인1프로젝트-계획서&결과보고서_2025년1학기(IT&콘텐츠).hwp

레퍼런스
- https://jorianwoltjer.com/blog/p/hacking/xs-leaking-flags-with-css-a-ctfd-0day
- https://xsleaks.dev/

'1인1프로젝트' 카테고리의 다른 글

XS-Leak 취약점 탐구 (4) (0)	2025.04.24
XS-Leak 취약점 탐구 (3) (0)	2025.04.15
XS-Leak 취약점 탐구 (2) (0)	2025.03.24

'1인1프로젝트' Related Articles

more

티스토리툴바