DC Field | Value | Language |
---|---|---|
dc.contributor.advisor | 손수엘 | - |
dc.contributor.advisor | Son, Sooel | - |
dc.contributor.author | 이택진 | - |
dc.date.accessioned | 2021-05-13T19:36:27Z | - |
dc.date.available | 2021-05-13T19:36:27Z | - |
dc.date.issued | 2019 | - |
dc.identifier.uri | http://library.kaist.ac.kr/search/detail/view.do?bibCtrlNo=919513&flag=dissertation | en_US |
dc.identifier.uri | http://hdl.handle.net/10203/284895 | - |
dc.description | 학위논문(석사) - 한국과학기술원 : 정보보호대학원, 2019.8,[iv, 36 p. :] | - |
dc.description.abstract | 제한 없는 파일 업로드 취약점 (Unrestricted File Upload, UFU)은 공격자가 임의로 생성한 파일을 대상 웹 서버에 업로드하는 것을 허용하는 버그이다. 업로드된 파일은 대상 웹 서버를 침해하기 위한 디딤돌이 될 수 있으며, URL을 통해 그 파일을 실행시키는 제한 없는 실행 가능한 파일 업로드 취약점 (Unrestricted Executable File Upload, UEFU)로 발전할 수 있다. 본 논문에서는 모의침투 방식으로 PHP 애플리케이션 의 UFU 및 UEFU 취약점을 탐색하는 도구인 FUSE를 처음 설계 및 구현하여 소개한다. FUSE의 목표는 UFU 또는 UEFU 취약점을 발생시키는 HTTP 요청을 생성하는 것이다. 하지만, 이런 접근은 다음 두 가 지 기술적 문제를 수반한다: 업로드 요청이 (1) 대상 웹 애플리케이션에 구현된 모든 콘텐츠 검증 로직을 우회해야 하고, (2) 그 결과로 업로드된 파일의 실행 가능성이 보존되어야 한다. 본 논문에서는 FUSE의 이러한 문제들을 고려한 변형 명령을 설계 및 이용하여 일반적인 파일 업로드 요청을 생성하였다. FUSE 는 33개의 실제 사용되는 PHP 애플리케이션에서 15개의 CVE 번호를 부여받은 취약점을 포함한 30개의 새로운 UEFU 취약점을 발견하였다. | - |
dc.language | kor | - |
dc.publisher | 한국과학기술원 | - |
dc.subject | 제한 없는 파일 업로드▼a제한 없는 실행가능 파일 업로드▼a탐색 도구▼a변형 방식 | - |
dc.subject | Unrestricted File Upload▼aUnrestricted Executable File Upload▼aFinding Tool▼aMutation based | - |
dc.title | 파일 업로드 취약점 탐색을 위한 모의침투 테스트 도구의 개발 | - |
dc.title.alternative | Development of penetration testing tool for finding file upload vulnerability | - |
dc.type | Thesis(Master) | - |
dc.identifier.CNRN | 325007 | - |
dc.description.department | 한국과학기술원 :정보보호대학원, | - |
dc.contributor.alternativeauthor | Lee, Taekjin | - |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.