웹의 불안전한 JavaScript 사용 관행에 대한 측정 연구

Source

• Evernote/Inbox/A measurement study of insecure javascript practices on the web.md

Summary

이 논문은 웹에서 JavaScript 포함(inclusion) 및 동적 생성(dynamic generation)과 관련된 불안전한 엔지니어링 관행에 대한 최초의 측정 연구를 제시합니다. 연구진은 6,805개의 고유한 웹사이트를 분석하여 이러한 관행의 심각성과 특성을 조사했으며, 불안전한 JS 사용이 직접적인 보안 침해로 이어지지 않더라도 새로운 공격 벡터를 생성하고 브라우저 기반 공격의 위험을 크게 증가시킬 수 있음을 지적합니다.

Key Points

• JavaScript의 불안전한 사용 관행이 브라우저 기반 공격의 위험을 증대시킴
• JS 포함 및 동적 생성 관행에 초점을 맞춘 최초의 측정 연구
• 6,805개 웹사이트를 대상으로 한 분석 수행
• 출처: ACM Transactions on the Web (TWEB)

Related

• 웹의 병목 현상: JavaScript

• 웹 기반 멀웨어 분석 및 방어 연구 동향

• 웹 애플리케이션 서버 측 보안 접근 방식에 대한 조사

• JavaScript 기반 분산 컴퓨팅 고려사항

• CSRF)

• Distributed Electronic Rights in JavaScript

• JavaScript 의 현대적 활용 분야 (2019)

• 온라인 탐색 난이도 설명을 위한 상호작용 데이터 활용

• 웹 서비스 회귀 테스트에 대한 체계적 매핑 연구 (2014)

• URL 쿼리 문자열을 통한 개인정보 유출 측정 연구

• 2017 년 JavaScript 테스트 개요 (Powtoon Engineering)

• 브라우저 기반 사후 멀웨어 보호 (Browser Based Retroactive Malware Protection)

• ML 기반 번들링: JavaScript 툴링의 미래

• Rich Internet Applications(RIA) 연구의 체계적 매핑 연구(10 년간)

• 웹 기반 연산 오프로딩 및 상태 시리얼라이제이션 연구 동향

• Web Workers: JavaScript 멀티스레딩

• CAMP: Content-Agnostic Malware Protection

• 비동기적 JavaScript

• JavaScript 성능 향상을 위한 Thread-level Speculation (TLS)

• 브라우저 앙상블을 활용한 분산 컴퓨팅 (WeevilScout)

• JavaScript 과잉 조직화 (Over-Organizing) 의 적절성

• Design Patterns in JavaScript (tcorral)

• JavaScript this 키워드 동작 원리

• 온라인 괴롭힘에 대한 방관자 효과 연구

• 웹사이트 접근성 개선 추세 (1999-2012)

• JavaScript 엔진의 동작 원리 (V8 기준)

• JavaScript Promises: 개념, 용어 및 표준화

• 북마클릿(Bookmarklet) 정의

• List.js: HTML 리스트의 검색, 정렬, 필터링을 위한 경량 JavaScript 라이브러리

• 풀스택 JavaScript 프레임워크 학습 조언 (Quora)

• 더글라스 크록포드의 작업 철학 및 JavaScript 관점

• HTTP Archive: jQuery 호스팅 및 버전 분산 분석 (2013)

• JavaScript 패키지 매니저의 간략한 역사 (npm, Yarn, pnpm)

• JSWhiz: JavaScript 메모리 누수 정적 분석 도구

• Web Workers API 개요 및 기본 사용법

• 대규모 JavaScript 애플리케이션 설계 및 엔지니어 성장

• 자바스크립트에서의 Continuation-passing style (CPS) 소개

• requestAnimationFrame 사용법

• CSS :scope 가상 클래스의 용도 및 동작 방식

• HTML에서 Javascript와 CSS 기반으로 애니메이션을 구현하는 방법

• 종성 분리 알고리즘

• Prototype용 선택 상자 플러그인

• 8bit.js: Web Audio API 기반 8비트 사운드 라이브러리

• jQuery 이벤트 핸들링: .on() 사용 권장

• CSS를 이용한 클라이언트 측 전체 텍스트 검색

• 자바스크립트 객체 더하기 연산의 타입 변환 규칙

• Freemarker 템플릿 상속을 통한 레이아웃 관리

• 자바스크립트 메모리 관리 및 4가지 흔한 메모리 누수 대처법

• 자바스크립트 프로토타입(Prototype) 개념 정리

• 자바스크립트 동작 원리: 엔진, 런타임, 호출 스택

• Requirify: 브라우저 콘솔에서 동적 라이브러리 로딩

• Distributed Web Worker 개발 중 Promise 및 이벤트 처리 이슈

• 자바스크립트 디자인 패턴 - 프록시(Proxy)

• Web Framework Benchmark Inspired

• AJAX 기본 원리 및 XMLHttpRequest 구현

• Simple Ajax 예제

• 텍스트 교체하기: 5가지 방법 (Swapping Out Text, Five Different Ways)

• Resource Timing API 를 통한 네트워크 성능 측정

• 모바일 검색에서 주의 및 만족도 측정 개선 방안

• 모바일 웹의 쇠퇴에 대한 논의

• 기회주의적 스펙트럼 접근의 효과성: 측정 연구

• Objective-C 함수 포인터와 코드 블럭

• 자바스크립트 배열 메소드 5가지 (indexOf, filter, forEach, map, reduce)

• Bower: 웹 프론트엔드 패키지 관리자

• awesome-javascript (스크랩 실패)

• 자바스크립트 아키텍처 v0.4

• 웹 기반 악성코드 유포 메커니즘 및 OWASP Top 10(SQL Injection) 개요

• 연구 계획 - 을미년 2주

• Three.js 시작 가이드 (Aerotwist)

• Web Animations API: element.animate() (Chrome 36)