Fuzzing of Web Application Server Using Known Vulnerability Information and Its Verification

알려진 취약점 정보를 활용한 웹 애플리케이션 서버 퍼징 및 검증

소프트웨어와 인터넷 연결이 일반화되고 소프트웨어 규모가 복잡해짐에 따라, 소프트웨어 보안 취약점 발생 수 및 관련 보안 사고가 나날이 증가하고 있다. 소프트웨어 보안 사고를 예방하기 위한 하나의 방법은 소프트웨어 개발 단계에서 취약점을 발견하여 제거하는 것이다. 이에 본 논문에서는 취약점 발견에 사용되는 대표적 테스팅 기법인 퍼징에 대해 연구하였다. 먼저, 웹 애플리케이션 서버와 관련된 기존의 공개된 취약점 정보를 분석하여 퍼징에 필요한 오용 케이스(misuse case) 생성 방법을 보인다. 생성된 오용 케이스는 URL과 HTTP 요청 메시지의 각 필드에 대한 테스팅 정보를 포함하고 있으며, 이 오용 케이스를 웹 애플리케이션 서버에 퍼징하여 실제 보안 관련 결함이 나타남을 확인하였다.