반응형
서론
메일링 서비스를 개발하던 도중, <tr> 태그에 hover 기능으로 background 색상을 변경하려고 했다.
local 및 웹 서비스에서는 정상적으로 동작되나, SMTP를 통한 수신 메일에서는 해당 기능이 미동작하여 관련 내용을 정리해본다.
기능 PoC
- onmouseover, onmouseout 기능 동작 확인
메일링 반영
- 네이버 메일 : 반영 안됨
- 구글 메일 미리보기 : 반영 됨
- 구글 메일 전체보기 : 반영 안됨
관련 취약점
Researcher Finds CSS-Only Method to Track Mouse Movements
As users become more concerned about their privacy and being tracked online, they have begun to use ad blockers and script blockers to block JavaScript tracking scripts. A new method has been discovered that allows a site to track the mouse movements of t
www.bleepingcomputer.com
- onmouseover, onmouseout 등 마우스 관련 속성은 JS 단에서 클라이언트의 마우스 움직임을 추적할 수 있다고 한다.
- css의 :hover 속성도 포함이며, 관련 취약점을 보완하는 과정에서 메일 서비스에 html 스크립트 작성 시 관련 옵션은 삭제되는 것이 아닐까 추정해본다.
우리 그룹웨어에서는 동작하던데?!
- 구글 Gmail의 경우에도 미리보기 페이지에서는 동작하나, 원본 보기에서는 미동작하는 부분을 확인하였다.
- 심각도가 높지 않다고 판단하였거나 보안 패치가 이뤄지지 않은 것으로 추정할 수 있다.
참고 및 인용 출처
- Lawrence Abrams. (2019. 5. 7). Researcher Finds CSS-Only Method to Track Mouse Movements. BLEEPINGCOMPUTER.
728x90
반응형
'Develop' 카테고리의 다른 글
| [k8s] Kubernetes 주요 구성 요소 (0) | 2024.10.02 |
|---|---|
| [Spring] IoC(Inversion of Control)와 DI(Dependency Injection) 이해하기 (0) | 2024.09.10 |
| [Spring] Spring Bean 생명주기와 @Annotation 정리 (0) | 2024.09.10 |
| [Flutter] Uri를 활용한 SMS 보내기 기능 구현 (0) | 2024.08.29 |
| [Java] params URLEncoder 처리 (0) | 2024.07.30 |
| [CI/CD] Spring Boot .jar 서버 배포 스크립트 개선 (0) | 2024.07.25 |
| [Spring Boot] IndexOutOfBoundsException 개선 작업 (0) | 2024.07.24 |
| [Java] Mybatis Column '{컬럼명}' in IN/ALL/ANY subquery is ambiguous 해결 (0) | 2024.07.19 |
