한국과학기술원 도서관

서지주요정보
자바스크립트와 CSS를 이용한 DOM 퍼징에 관한 연구 = DOM fuzzing using JavaScript and CSS
서명 / 저자	자바스크립트와 CSS를 이용한 DOM 퍼징에 관한 연구 = DOM fuzzing using JavaScript and CSS / 이지은.
발행사항	[대전 : 한국과학기술원, 2012].
Online Access	원문보기 원문인쇄

소장정보

등록번호

8023724

소장위치/청구기호

학술문화관(문화관) 보존서고

MCS 12002

휴대폰 전송

도서상태

이용가능(대출불가)

사유안내

반납예정일

리뷰정보

초록정보

Recently, vulnerability of software has become as an attack target. As a result, softwares used every now and then such as Web browsers require large importance in securing softwares. In order to find out vulnerabilities hidden in the Web browser before they used in attacks, fuzzing methodology has been introduced. Due to competitive work, critical vulnerabilities have been fixed but still number of disclosures are increasing. In this circumstances, we introduce a CSS-DOM fuzzer. CSS-DOM fuzzer creates lots of forms of DOM and CSS. While doing fuzzing, we use well-known but not yet fixed vulnerability to find out new crashes in browsers. As a result we could successfully find out vulnerabilities in IE, FireFox, Chrome and Safari.

연구와 군사 목적으로 발전하기 시작한 인터넷은 현대 사회에서 중요한 기반으로 자리잡게 되면서 사회에 끼치는 영향도 점차 커지고 있다. 이러한 인터넷을 이용하기 위해서 필수적으로 요구되는 응용 소프트웨어가 바로 웹 브라우저이다. 따라서 침입자들은 누구나 사용하는 웹 브라우저의 취약점을 이용하여 사용자 시스템에 침투하거나 오류를 일으키려는 시도를 꾸준히 하고 있으며 그 취약점들을 미리 발견하기 위한 개발자와 관리자의 노력 또한 지속적으로 이루어지고 있다. 현존하는 웹 브라우저 취약점 발견을 위한 방법 중 가장 효과적인 방법으로 알려진 것 중 하나가 바로 퍼징이다. 퍼징은 어플리케이션에 semi-valid한 입력 값을 연속적으로 입력하여 처리하는 중에 나타나는 결함을 찾는 소프트웨어 검증 방법론 중 하나이다. 이 연구에서는 현존하는 DOM퍼저 중 중요도가 높은 퍼저를 선정하여 퍼징 방법을 분석하고 DOM 퍼저에서 나타나는 메커니즘을 정리한다. 또한 기존 연구의 분석을 통해 CSS를 이용한 새로운 퍼징 방안을 제시한다. 기존 연구를 분석해 본 결과, DHTML 시대에 HTML과 자바 스크립트와 함께 웹 문서를 구성하는 3대 요소 중 하나인 CSS의 비중에 비해 기존 퍼징 툴에서 사용되는 경우는 아직 미비한 것을 알 수 있었다. CSS 퍼징 기법에 대한 더 심도 있는 조사를 통해 총 2가지 퍼저에서 CSS를 사용한 것을 발견 하였으나, 퍼징 툴에서 차지하는 비율이나 사용하는 문법이 극히 제한되어 개선할 점이 많은 것을 알 수 있었다. 따라서 이번 연구에서는 다양한 CSS 문법을 이용하여, 그 CSS가 DOM에 연결 될 때 발생하는 취약성을 발견하는 것을 목표로 연구를 진행하였다. DOM구조를 점진 적으로 확장하면서 그 DOM 구조에 적합한 semi-valid한 CSS를 만들어 연결하는 방식으로 툴을 구성하였다. DOM을 점진적으로 확장하는 방식은 기존 퍼저에서 흔히 볼 수 있는 방식으로 퍼저의 코드 커버리지를 높이는 긍정적인 효과를 기대할 수 있다. 또한, DOM 구조를 단순 확장하는 방법에 그치지 않고, 각 DOM구조에서 여러 변형을 가해 역동적으로 변하는 DOM 구조에 이전 CSS와의 충돌이 발생하는지 확인 할 수 있도록 하였다. 또한 이 모든 과정에서 기존에 잘 알려져 있는 취약점인 웹 브라우저의 메모리 유출 문제를 이용하여 메모리가 부족한 환경에서 퍼징 툴이 사용 되었을 때 발생하는 결함을 찾을 수 있도록 구성하였다 실험 결과, IE9, Chrome14 그리고 Safari5.1과 같은 최신 브라우저에서 충돌이 있음을 확인할 수 있었으며, 최신 브라우저 보다 낮은 버전의 브라우저인 IE8, Chrome13, FireFox3.6에서 아직 패치 되지 않은 충돌 또한 확인 할 수 있었다.

서지기타정보

서지기타정보
청구기호	{MCS 12002
형태사항	iv, 27 p. : 삽화 ; 30 cm
언어	한국어
일반주기	저자명의 영문표기 : Ji-Eun Lee 지도교수의 한글표기 : 윤현수 지도교수의 영문표기 : Hyun-Soo Yoon
학위논문	학위논문(석사) - 한국과학기술원 : 전산학과,
서지주기	참고문헌 : p. 23-24

QR CODE

책소개

전체보기

나의 도서관정보

메뉴

소장정보

리뷰정보

초록정보

서지기타정보

책소개

목차

이 주제의 인기대출도서