Cross-Check Based Vulnerability Analysis Using Static and Dynamic Analysis Tools: A Study on CWE-79 Detection

정적 및 동적 분석 도구를 활용한 CWE-79 취약점 탐지 및 보안 분석 기법 연구

  • Jung-Hyun Woo (Computer Science, Sangji University) ;
  • ;
  • Kwang-Man Ko (Computer Science, Sangji University)
  • 우정현 (상지대학교 컴퓨터공학과) ;
  • 서병석 (상지대학교 컴퓨터공학과) ;
  • 고광만 (상지대학교 컴퓨터공학과)
  • Published : 2024.10.31

Abstract

이 연구는 웹 애플리케이션 보안에서 흔히 발생하는 CWE-79(XSS) 취약점을 탐지하기 위해 정적 분석 도구와 동적 분석 도구의 이론적 비교를 수행하였다. SonarQube와 OWASP ZAP을 중심으로, 두 도구의 탐지 메커니즘과 장단점을 분석하고, 이들이 보안 점검에 미치는 영향을 논의하였다. 연구 결과, 정적 분석 도구와 동적 분석 도구는 상호 보완적인 관계에 있으며, 두 도구를 결합하여 사용할 때 취약점 탐지의 효율성과 정확도가 크게 향상될 수 있음을 확인하였다. 또한, 이 연구는 AI 기반 탐지 기법을 도입하기 위한 기초 자료를 제공하며, 향후 연구에서 AI를 활용한 보다 정교한 보안 분석 기법을 개발할 가능성을 제시하였다. 이번 연구는 실질적인 실험 데이터를 포함하지 않았지만, 이론적 분석을 통해 정적 및 동적 분석 도구의 보안성 강화 방안을 모색하고, 보안 분석 기법의 발전을 위한 기초 데이터를 마련하였다.

Keywords

References

  1. 정철모, "정적 분석 도구와 동적 분석 도구를 활용한 소프트웨어 보안 취약점 탐지 기법 비교 연구," 한국산업융합학회논문집, 제19권, 제12호, pp. 96-103, 2016.
  2. S. L. Garfinkel, "Automated Web Application Security Testing," IEEE Security & Privacy, vol. 4, no. 4, pp. 16-23, 2006.
  3. Y. Hwang, K. G. Shin, and S. P. Shieh, "Web Application Vulnerability Detection Using Static Analysis," Proceedings of the 7th International Conference on Information Security Practice and Experience (ISPEC), Guangzhou, China, 2011, pp. 109-124.
  4. OWASP Foundation, OWASP Testing Guide v4, New York, NY: OWASP Foundation, 201