• Title/Summary/Keyword: fuzzing

Search Result 74, Processing Time 0.03 seconds

A Practical Intent Fuzzing Tool for Robustness of Inter-Component Communication in Android Apps

  • Choi, Kwanghoon;Ko, Myungpil;Chang, Byeong-Mo
    • KSII Transactions on Internet and Information Systems (TIIS)
    • /
    • v.12 no.9
    • /
    • pp.4248-4270
    • /
    • 2018
  • This research aims at a new practical Intent fuzzing tool for detecting Intent vulnerabilities of Android apps causing the robustness problem. We proposed two new ideas. First, we designed an Intent specification language to describe the structure of Intent, which makes our Intent fuzz testing tool flexible. Second, we proposed an automatic tally method classifying unique failures. With the two ideas, we implemented an Intent fuzz testing tool called Hwacha, and evaluated it with 50 commercial Android apps. Our tool offers an arbitrary combination of automatic and manual Intent generators with executors such as ADB and JUnit due to the use of the Intent specification language. The automatic tally method excluded almost 80% of duplicate failures in our experiment, reducing efforts of testers very much in review of failures. The tool uncovered more than 400 unique failures including what is unknown so far. We also measured execution time for Intent fuzz testing, which has been rarely reported before. Our tool is practical because the whole procedure of fuzz testing is fully automatic and the tool is applicable to the large number of Android apps with no human intervention.

Browser fuzzing and analysis using known vulnerability (파이썬 모듈과 정규표현식을 활용한 웹 취약점 탐색 자동화 봇)

  • Kim, Nam-gue;Kim, Ki Hwan;Lee, Hoon-Jae
    • Proceedings of the Korean Institute of Information and Commucation Sciences Conference
    • /
    • 2016.05a
    • /
    • pp.749-751
    • /
    • 2016
  • Internet technology is universal, news from the Web browser, shopping, search, etc., various activities have been carried out. Its size becomes large, increasing the scale of information security incidents, as damage to this increases the safety for the use of the Internet is emphasized. IE browser is ASLR, such as Isolated Heap, but has been continually patch a number of vulnerabilities, such as various protection measures, this vulnerability, have come up constantly. And, therefore, in order to prevent security incidents, it is necessary to be removed to find before that is used to exploit this vulnerability. Therefore, in this paper, we introduce the purge is a technique that is used in the discovery of the vulnerability, we describe the automation technology related thereto. And utilizing the known vulnerabilities, and try to show any of the typical procedures for the analysis of the vulnerability.

  • PDF

A Study of fuzzing techniques and their development (최근 퍼징 기법들과 발전에 관한 연구)

  • Jun, So-Hee;Lee, Young-Han;Kim, Hyun-Jun;Paek, Yun-Heung
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • 2020.05a
    • /
    • pp.272-274
    • /
    • 2020
  • 최근 컴퓨터 프로그램의 크기가 증가하고 목적이 다양해지면서 프로그램의 취약점에 대한 위험이 증가하고 있다. 공격자 보다 먼저 프로그램 취약점을 찾아내기 위한 여러 기법들이 있다. 그 중 프로그램의 취약점을 보다 효율적으로 찾아내기 위한 기법 중 하나인 퍼징 (Fuzzing) 은 프로그램에 무작위로 입력 데이터를 입력하여 프로그램의 정의되지 않은 영역을 검증하는 기법이다. 이러한 입력 데이터를 최대한 적은 시간과 자원을 소모하여 생성하기 위해 인공지능과 퍼징을 결합하는 연구가 활발히 진행 중이다. 본 논문에서는 퍼징의 개념 및 종류에 대해 설명하고 퍼징과 인공지능이 결합된 최신 연구에 대해 서술한다.

SKIP based Technological Research Agent for Computer-structural Exploration and Response (명령어 생략 기반 컴퓨터구조 분석 도구)

  • Un-Jang Yeo;Yeong-Pil Cho
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • 2024.05a
    • /
    • pp.497-499
    • /
    • 2024
  • Fuzzing Test 와 같은 자동화된 소프트웨어 테스트 기법이 점차 출현함에 따라, 소프트웨어 테스트의 시간적 효율성과 성능의 상충을 조절하여 최적의 테스트를 진행하려는 시도가 발생하고 있다. 본 연구는 이러한 소프트웨어 테스트 기법을 하드웨어 단위에서 지원할 수 있는 기능을 확률 기반 명령어 생략 구조를 통해 제시하였다.

Browser fuzzing and analysis using known vulnerability (소프트웨어 취약점의 종류와 탐색 방법)

  • Kim, Nam-gue;Kim, Hyun Ho;Lee, Hoon-Jae
    • Proceedings of the Korean Institute of Information and Commucation Sciences Conference
    • /
    • 2015.10a
    • /
    • pp.753-756
    • /
    • 2015
  • Internet technology is universal, news from the Web browser, shopping, search, etc., various activities have been carried out. Its size becomes large, increasing the scale of information security incidents, as damage to this increases the safety for the use of the Internet is emphasized. IE browser is ASLR, such as Isolated Heap, but has been continually patch a number of vulnerabilities, such as various protection measures, this vulnerability, have come up constantly. And, therefore, in order to prevent security incidents, it is necessary to be removed to find before that is used to exploit this vulnerability. Therefore, in this paper, we introduce the purge is a technique that is used in the discovery of the vulnerability, we describe the automation technology related thereto. And utilizing the known vulnerabilities, and try to show any of the typical procedures for the analysis of the vulnerability.

  • PDF

Randomness Based Fuzzing Test Case Evaluation for Vulnerability Analysis of Industrial Control System (산업제어시스템 취약성 분석을 위한 무작위성 기반 퍼징 테스트 케이스 평가 기법)

  • Kim, SungJin;Shon, Taeshik
    • Journal of the Korea Institute of Information Security & Cryptology
    • /
    • v.28 no.1
    • /
    • pp.179-186
    • /
    • 2018
  • The number of devices connect to the internet is rapidly increasing with the advent of the IoT(Internet of Things). The IoT has improved the convenience of life. However, it makes security issues such as privacy violations. Therefore cybersecurity is the most important issue to be discussed nowadays. Especially, various protocols are used for same purpose due to rapidly increase of IoT market. To deal with this security threat noble vulnerability analysis is needed. In this paper, we contribute to the IoT security by proposing a new randomness-based test case evaluation methodology using variance and entropy. The test case evaluation method proposed in this paper can evaluate the test cases at a high speed regardless of the test set size, unlike the traditional technique.

A Study on Hybrid Fuzzing using Dynamic Analysis for Automatic Binary Vulnerability Detection (바이너리 취약점의 자동 탐색을 위한 동적분석 정보 기반 하이브리드 퍼징 연구)

  • Kim, Taeeun;Jurn, Jeesoo;Jung, Yong Hoon;Jun, Moon-Seog
    • Journal of the Korea Academia-Industrial cooperation Society
    • /
    • v.20 no.6
    • /
    • pp.541-547
    • /
    • 2019
  • Recent developments in hacking technology are continuing to increase the number of new security vulnerabilities. Approximately 80,000 new vulnerabilities have been registered in the Common Vulnerability Enumeration (CVE) database, which is a representative vulnerability database, from 2010 to 2015, and the trend is gradually increasing in recent years. While security vulnerabilities are growing at a rapid pace, responses to security vulnerabilities are slow to respond because they rely on manual analysis. To solve this problem, there is a need for a technology that can automatically detect and patch security vulnerabilities and respond to security vulnerabilities in advance. In this paper, we propose the technology to extract the features of the vulnerability-discovery target binary through complexity analysis, and select a vulnerability-discovery strategy suitable for the feature and automatically explore the vulnerability. The proposed technology was compared to the AFL, ANGR, and Driller tools, with about 6% improvement in code coverage, about 2.4 times increase in crash count, and about 11% improvement in crash incidence.

Fuzzing of Web Application Server Using Known Vulnerability Information and Its Verification (알려진 취약점 정보를 활용한 웹 애플리케이션 서버 퍼징 및 검증)

  • Kim, Gi-Youn;Cho, Seong-Je
    • Proceedings of the Korean Information Science Society Conference
    • /
    • 2011.06b
    • /
    • pp.181-184
    • /
    • 2011
  • 소프트웨어와 인터넷 연결이 일반화되고 소프트웨어 규모가 복잡해짐에 따라, 소프트웨어 보안 취약점 발생 수 및 관련 보안 사고가 나날이 증가하고 있다. 소프트웨어 보안 사고를 예방하기 위한 하나의 방법은 소프트웨어 개발 단계에서 취약점을 발견하여 제거하는 것이다. 이에 본 논문에서는 취약점 발견에 사용되는 대표적 테스팅 기법인 퍼징에 대해 연구하였다. 먼저, 웹 애플리케이션 서버와 관련된 기존의 공개된 취약점 정보를 분석하여 퍼징에 필요한 오용 케이스(misuse case) 생성 방법을 보인다. 생성된 오용 케이스는 URL과 HTTP 요청 메시지의 각 필드에 대한 테스팅 정보를 포함하고 있으며, 이 오용 케이스를 웹 애플리케이션 서버에 퍼징하여 실제 보안 관련 결함이 나타남을 확인하였다.

A Study on Fuzzing Tools for Testing Software-Defined Networks (소프트웨어 정의 네트워크(SDN)를 대상으로 한 퍼즈테스팅 관련 연구 조사)

  • Wi, Seongil;Son, Sooel
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • 2018.10a
    • /
    • pp.181-184
    • /
    • 2018
  • 최근 주목 받고 있는 소프트웨어 정의 네트워크(SDN: Software-Defined Networks)는 기존 네트워크 운용의 비효율성과 복잡성을 근본적으로 해결하기 위해 등장한 개방형 네트워크 인프라이다. SDN 시스템이 점차 상용화, 개방화 되는 시점에서, 내재되어있는 보안적 위협을 줄이기 위하여 효율적이고 자동화된 취약점 탐지의 필요성이 대두되고 있다. 본 논문에서는 자동화된 소프트웨어 테스트 기법 중 하나인 퍼즈테스팅이 SDN에 적용되어야 할 이유를 살펴보고자 한다. 또한, 기존에 관련된 연구의 분석을 통해 현재 학계의 연구동향을 파악하고 앞으로의 연구 방향성을 제시한다.

Fuzzing Tool for Android Application Vulnerability (안드로이드 앱 취약점 점검 도구 개발)

  • Kim, Sangwho;Jo, Jegyeong;Ryou, Jaechul
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • 2014.04a
    • /
    • pp.424-425
    • /
    • 2014
  • 2014년 가트너에서 조사된 통계 자료에 의하면 스마트폰 사용자 4명중 3명은 안드로이드인 것으로 나타났다. 즉, 안드로이드에서 취약점이 발생할 경우 다른 스마트폰 OS에서 취약점이 발생할 때보다 3배 이상의 피해가 예상된다고 할 수 있다. 따라서 안드로이드 환경에서 앱에 대한 취약점을 찾고 조치를 취해야하는 작업이 지속되어야 한다. 그러나 취약점을 찾고 조치를 취하기 위해 분석가는 많은 시간을 소모하는데 비해 앱의 증가 속도는 매우 빨라 취약점 점검을 위한 자동화 도구는 필수적일 수밖에 없다. 이에 본 연구는 안드로이드 환경에서 작동하는 앱을 대상으로 취약점 점검을 수행하는 도구를 개발하고 연구하였다.