목록2025/03/22 (1)
뭉크테크
Web LLM attacks(Exploiting insecure output handling in LLMs)
이론 Exploiting insecure output handling in LLMs 이란?대규모 언어 모델(LLM)은 웹 애플리케이션에서 사용자 요청을 처리하며 데이터를 출력하지만, 출력 처리가 안전하지 않을 경우 악성 스크립트까지도 쉽게 출력할 수 있는 취약점을 활용한 공격이다. 해당 공격은 LLM단이나 백엔드 시스템 단이나 해당 공격에 대한 필터링을 제대로 처리하지 못해서 발생하는 공격이다. 실전(시나리오)이번에는 stored xss 방식을 활용하여 악성스크립트를 외부 상품 리뷰 페이지에 남길 것이고, LLM에게 간접포이즈닝 공격을 통해 해당 상품에 관한 리뷰 내용을 불러오고, 그로 인해 사용자 carlos가 본인이 의도하지 않은 요청을 서버에게 보내는 csrf 방식도 같이 적용시켜 carlos의 ..
CERT
2025. 3. 22. 18:08