PHP 객체 주입 취약점 공격을 위한 자동 익스플로잇 생성Automatic exploit generation for PHP object injection vulnerabilities
PHP 객체 주입 취약점 (POI) 은 공격자가 취약한 PHP 애플리케이션에 존재하는 클래스 메서드의 코드를 실행할 수 있도록 하는 보안에 중요한 버그이다. 이 취약점을 악용하기 위해서는 속성 지향 프로그래밍을 통해 주입할 객체를 생성해야 한다. 기존 도구들은 PHP 객체 주입 취약점을 식별하는 데만 초점을 두고 익스플로잇 객체를 보고하지는 않았다. 본 논문에서는 POI 취약점을 위한 최초의 자동 익스플로잇 생성 도구인 FUGIO를 설계하고 구현한다. FUGIO는 대략적인 정적 분석과 동적 분석을 통해 악용 객체의 청사진 역할을 하는 가젯 체인들을 식별한다. 그 후, FUGIO는 식별된 체인을 퍼징하여 익스플로잇 객체를 생성한다. FUGIO는 11개의 애플리케이션에서 53개의 익스플로잇 객체를 오탐없이 생성했다. 또한, FUGIO는 두 개의 최신 애플리케이션에서 이전에 보고되지 않은 POI 취약점을 탐지해 익스플로잇 객체를 생성했으며 이로써 익스플로잇 생성 기능의 효과를 입증했다.
- Advisors
- 손수엘researcher; Son, Sooelresearcher
- Description
- 한국과학기술원 :정보보호대학원,
- Publisher
- 한국과학기술원
- Issue Date
- 2021
- Identifier
- 325007
- Language
- kor
- Description
학위논문(석사) - 한국과학기술원 : 정보보호대학원, 2021.2,[iv, 31 p. :]
- Keywords
Web▼aSecurity▼aVulnerability▼aPHP object injection▼aAutomatic exploit generation; 웹▼a보안▼a취약점▼aPHP 객체 주입▼a자동 익스플로잇 생성
- Appears in Collection
- IS-Theses_Master(석사논문)
- Files in This Item
- There are no files associated with this item.
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.