윈도우즈에서 제공되는 기본 API에 대한 안전성 고찰

Vol. 19, No. 2, pp. 75-82, 4월. 2009
10.13089/JKIISC.2009.19.2.75, Full Text:
Keywords: Software Security Testing, Fuzz Testing
Abstract

본 논문에서는 전세계적으로 90%이상의 사용자층을 보유하고 있는 윈도우즈 OS의 API에 대한 보안 테스팅 중 Fuzz Testing을 적용하여 그 안전성을 검증하였다. 본 논문에서는 윈도우즈의 시스템 폴더 내에 구현된 함수들을 대상으로 테스팅하기 위해 Fuzz Testing 기반 자동화 방법론인 AWAFT를 제안하였다. AWAFT는 보안 취약점 중 버퍼오버플로우와 함수 파라미터 파싱 오류에 초점을 맞추고 있다. AWAFT를 자동화하기 위한 도구를 구현하였으며 Windows XP SP2 시스템 폴더에 적용한 결과 177개의 프로그램 종료 에러를 발견하였으며, 이 중 10개는 프로그램의 실행 흐름을 변경시킬 수 있는 보안상 위험한 취약점이었다. AWAFT는 윈도우즈 기반으로 개발되는 소프트웨어의 라이브러리에 대해 보안 향상을 위해 적용 가능하다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
Y. Choi, H. Kim, H. Oh and D. Lee, "An Empirical Study of Security for API in Windows Systems," Journal of The Korea Institute of Information Security and Cryptology, vol. 19, no. 2, pp. 75-82, 2009. DOI: 10.13089/JKIISC.2009.19.2.75.

[ACM Style]
Young-Han Choi, Hyoung-Chun Kim, Hyung-Geun Oh, and Do-Hoon Lee. 2009. An Empirical Study of Security for API in Windows Systems. Journal of The Korea Institute of Information Security and Cryptology, 19, 2, (2009), 75-82. DOI: 10.13089/JKIISC.2009.19.2.75.