파일 업로드 취약점 탐색을 위한 모의침투 테스트 도구의 개발Development of penetration testing tool for finding file upload vulnerability
제한 없는 파일 업로드 취약점 (Unrestricted File Upload, UFU)은 공격자가 임의로 생성한 파일을 대상 웹 서버에 업로드하는 것을 허용하는 버그이다. 업로드된 파일은 대상 웹 서버를 침해하기 위한 디딤돌이 될 수 있으며, URL을 통해 그 파일을 실행시키는 제한 없는 실행 가능한 파일 업로드 취약점 (Unrestricted Executable File Upload, UEFU)로 발전할 수 있다. 본 논문에서는 모의침투 방식으로 PHP 애플리케이션 의 UFU 및 UEFU 취약점을 탐색하는 도구인 FUSE를 처음 설계 및 구현하여 소개한다. FUSE의 목표는 UFU 또는 UEFU 취약점을 발생시키는 HTTP 요청을 생성하는 것이다. 하지만, 이런 접근은 다음 두 가 지 기술적 문제를 수반한다: 업로드 요청이 (1) 대상 웹 애플리케이션에 구현된 모든 콘텐츠 검증 로직을 우회해야 하고, (2) 그 결과로 업로드된 파일의 실행 가능성이 보존되어야 한다. 본 논문에서는 FUSE의 이러한 문제들을 고려한 변형 명령을 설계 및 이용하여 일반적인 파일 업로드 요청을 생성하였다. FUSE 는 33개의 실제 사용되는 PHP 애플리케이션에서 15개의 CVE 번호를 부여받은 취약점을 포함한 30개의 새로운 UEFU 취약점을 발견하였다.
- Advisors
- 손수엘researcher; Son, Sooelresearcher
- Description
- 한국과학기술원 :정보보호대학원,
- Publisher
- 한국과학기술원
- Issue Date
- 2019
- Identifier
- 325007
- Language
- kor
- Description
학위논문(석사) - 한국과학기술원 : 정보보호대학원, 2019.8,[iv, 36 p. :]
- Keywords
제한 없는 파일 업로드▼a제한 없는 실행가능 파일 업로드▼a탐색 도구▼a변형 방식; Unrestricted File Upload▼aUnrestricted Executable File Upload▼aFinding Tool▼aMutation based
- Appears in Collection
- IS-Theses_Master(석사논문)
- Files in This Item
- There are no files associated with this item.
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.