최소 단어 이상 선택하여야 합니다.
최대 10 단어까지만 선택 가능합니다.
다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
NTIS 바로가기한국인터넷방송통신학회 논문지 = The journal of the Institute of Internet Broadcasting and Communication, v.12 no.5, 2012년, pp.237 - 242
Cyber attacks have rapidly increased by exploiting the underlying vulnerabilities in the target software. However, identifying and correcting these vulnerabilities are extremely difficult and time consuming tasks. To address these problems efficiently, we propose a systematic methodology for securit...
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
핵심어 | 질문 | 논문에서 추출한 답변 |
---|---|---|
소프트웨어 취약점이란? | 소프트웨어 취약점(software vulnerability)이란 일반적으로 소프트웨어 개발자가 개발 또는 유지보수 단계에서 의도하지 않은 형태로 사용되어 보안 문제를 발생하는 경우를 말한다. 일반적으로 상용 소프트웨어는 소스코드를 외부에 공개하지 않고 개발자 그룹에 국한하는 경우가 많으며 소프트웨어 보안성 분석은 회사 내외부 보안 테스팅 전문가에게 맡기는 것이 보통이다. | |
역공학의 단점은? | 특히 상용 소프트웨어는 취약점 분석가에게 소스 코드가 주어지지 않는 경우가 많으며 이 때문에 취약점 분석이 어려웠으며, 분석은 주로 역공학 (reverse-engineering)에 의존해 왔다. 그런데 역공학은 특성상 기술 진입 장벽이 높고, 상용 소프트웨어 실행 코드가 방대해서 이를 분석하는데 많은 시간과 노력이 소요되는 실정이다. 따라서, 시간을 줄이면서도 정확하게 취약점을 찾아낼 수 있는 역공학 기술에 기반한 취약점 분석 기술 개발이 필요하다. | |
취약점 검출을 자동화 할 수 있는 방법 중 taint analysis는 어떤 방법인가? | 주로 프로그램의 입력 부분에 테스트 값을 생성하여 입력하고 크래쉬, 메모리 위반 등의 예외 상황을 모니터링 한다. 반면에, 테인팅 [9]은 어떤 프로그램에 외부 입력이 발생했을 때 미치는 영향 (예: 데이터가 어디까지 영향을 미치고 어떤 생명 주기를 갖는지를 파악, 취약점 발현, 외부 입력으로 인한 분기 상황 등)을 파악하는 것이다. 이 기법에서는 외부 입력값을 모두 신뢰할 수 없는 값으로 가정하고 이 값들의 흐름을 추적한다. |
Veracode, "State of Software Security Report", 2011.
SANS, "CWE/SANS TOP 25 Most Dangerous Software Errors", http://www.sans.org/top25-software-errors, 2011.
CVE List, "http://cve.mitre.org/cve".
OSVDB, "http://www.osvdb.org".
Exploit DB, "http://www.exploit-db.com".
CWE List, "http://cwe.mitre.org/data/index.html".
Metasploit, "www.metasploit.com".
M. Sutton, A. Greene and P. Amini, "Fuzzing Brute Force Vulnerability Discovery", Addison-Wesley, 2008.
B. Edgar, "Taint Analysis", Hackers to Hackers Conference, 2009.
IDA Pro, http://www.hexblog.com.
Corelan, "In Memory Fuzzing", http://www.corelan.be/index.php/2010/10/20/in-memory-fuzzing, 2010.
Colleen Lewis, Barret Rhoden, Cynthia Sturton, "Using Structured Random Data to Precisely Fuzz Media", http://www.eecs.berkeley.edu/-csturton/classes/cs261/fuzz_media_players.pdf, 2007.
Yong Su Park et al., Window Multimedia Vulnerabilities Analysis Study, KISA, 2009.
Seong Oun Hwang, Finding Vulnerabilities in Binary Codes Using Tainting/Fuzzing Analysis, 6th International conference on Convergence and Hybrid Information Technology (ICHIT), CCIS, vol. 310, 2012.
*원문 PDF 파일 및 링크정보가 존재하지 않을 경우 KISTI DDS 시스템에서 제공하는 원문복사서비스를 사용할 수 있습니다.
출판사/학술단체 등이 한시적으로 특별한 프로모션 또는 일정기간 경과 후 접근을 허용하여, 출판사/학술단체 등의 사이트에서 이용 가능한 논문
※ AI-Helper는 부적절한 답변을 할 수 있습니다.