파일 업로드 취약점 탐색을 위한 모의침투 테스트 도구의 개발Development of penetration testing tool for finding file upload vulnerability

Cited 0 time in webofscience Cited 0 time in scopus
  • Hit : 343
  • Download : 0
DC FieldValueLanguage
dc.contributor.advisor손수엘-
dc.contributor.advisorSon, Sooel-
dc.contributor.author이택진-
dc.date.accessioned2021-05-13T19:36:27Z-
dc.date.available2021-05-13T19:36:27Z-
dc.date.issued2019-
dc.identifier.urihttp://library.kaist.ac.kr/search/detail/view.do?bibCtrlNo=919513&flag=dissertationen_US
dc.identifier.urihttp://hdl.handle.net/10203/284895-
dc.description학위논문(석사) - 한국과학기술원 : 정보보호대학원, 2019.8,[iv, 36 p. :]-
dc.description.abstract제한 없는 파일 업로드 취약점 (Unrestricted File Upload, UFU)은 공격자가 임의로 생성한 파일을 대상 웹 서버에 업로드하는 것을 허용하는 버그이다. 업로드된 파일은 대상 웹 서버를 침해하기 위한 디딤돌이 될 수 있으며, URL을 통해 그 파일을 실행시키는 제한 없는 실행 가능한 파일 업로드 취약점 (Unrestricted Executable File Upload, UEFU)로 발전할 수 있다. 본 논문에서는 모의침투 방식으로 PHP 애플리케이션 의 UFU 및 UEFU 취약점을 탐색하는 도구인 FUSE를 처음 설계 및 구현하여 소개한다. FUSE의 목표는 UFU 또는 UEFU 취약점을 발생시키는 HTTP 요청을 생성하는 것이다. 하지만, 이런 접근은 다음 두 가 지 기술적 문제를 수반한다: 업로드 요청이 (1) 대상 웹 애플리케이션에 구현된 모든 콘텐츠 검증 로직을 우회해야 하고, (2) 그 결과로 업로드된 파일의 실행 가능성이 보존되어야 한다. 본 논문에서는 FUSE의 이러한 문제들을 고려한 변형 명령을 설계 및 이용하여 일반적인 파일 업로드 요청을 생성하였다. FUSE 는 33개의 실제 사용되는 PHP 애플리케이션에서 15개의 CVE 번호를 부여받은 취약점을 포함한 30개의 새로운 UEFU 취약점을 발견하였다.-
dc.languagekor-
dc.publisher한국과학기술원-
dc.subject제한 없는 파일 업로드▼a제한 없는 실행가능 파일 업로드▼a탐색 도구▼a변형 방식-
dc.subjectUnrestricted File Upload▼aUnrestricted Executable File Upload▼aFinding Tool▼aMutation based-
dc.title파일 업로드 취약점 탐색을 위한 모의침투 테스트 도구의 개발-
dc.title.alternativeDevelopment of penetration testing tool for finding file upload vulnerability-
dc.typeThesis(Master)-
dc.identifier.CNRN325007-
dc.description.department한국과학기술원 :정보보호대학원,-
dc.contributor.alternativeauthorLee, Taekjin-
Appears in Collection
IS-Theses_Master(석사논문)
Files in This Item
There are no files associated with this item.

qr_code

  • mendeley

    citeulike


rss_1.0 rss_2.0 atom_1.0