블록 기반 파일 결함 주입 기법을 이용한 소프트웨어 보안 테스팅

Vol. 17, No. 4, pp. 3-10, 8월. 2007
10.13089/JKIISC.2007.17.4.3, Full Text:
Keywords: Software Testing, fault injection, file fuzzing
Abstract

본 논문에서는 파일에 결함을 주입하는 기법을 이용하여 보안 테스팅(security testing)을 수행하는 방법론을 제안한다. 본 논문에서 제안한 방법론은 파일 내의 여러 필드(field)들을 묶어 블록(block)으로 처리하는 파일 포맷을 대상으로 필드를 고려하여 결함 주입 기법을 수행함으로써 소프트웨어의 취약점을 발견한다. 해당 방법론은 파일 데이터의 변경으로 발생할 수 있는 메모리 처리 관련 취약점에 초점을 맞추고 있다. 파일에 결함을 주입할 때 필드를 고려하면 파일을 파싱하는 과정에서 발생할 수 있는 파일 포맷 불일치의 에러 처리를 줄일 수 있는 장점이 있다. 본 논문에서는 블록으로 처리하는 파일 포맷 중 대표적인 파일 포맷인 이미지 파일에 대해 해당 방법론을 적용하였다. 이와 함께 이미지 파일에 대해 자동으로 결함을 주입할 수 있는 도구인 ImageDigger를 구현하였다. ImageDigger를 이용하여 WMF, EMF 이미지 파일 포맷에 대해 결함 주입을 수행하였으며 10종류의 서비스 거부 취약점을 발견하여 원인을 분석하였다. 해당 방법론은 블록을 기반으로 파일을 처리하는 대표적인 파일 포맷인 MS Office와 이외의 파일 포맷에 대해서도 적용 가능하다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
Y. Choi, H. Kim and S. Hong, "Software Security Testing using Block-based File Fault Injection," Journal of The Korea Institute of Information Security and Cryptology, vol. 17, no. 4, pp. 3-10, 2007. DOI: 10.13089/JKIISC.2007.17.4.3.

[ACM Style]
Young-Han Choi, Hyoung-Chun Kim, and Soon-Jwa Hong. 2007. Software Security Testing using Block-based File Fault Injection. Journal of The Korea Institute of Information Security and Cryptology, 17, 4, (2007), 3-10. DOI: 10.13089/JKIISC.2007.17.4.3.