Proceedings of the Korea Information Processing Society Conference (한국정보처리학회:학술대회논문집)
- 2013.11a
- /
- Pages.680-683
- /
- 2013
- /
- 2005-0011(pISSN)
- /
- 2671-7298(eISSN)
DOI QR Code
A Result and Analysis for Fuzz Testing of Vulnerability Assessment System
취약점 점검 시스템의 퍼즈 테스팅 결과 및 분석
- Kim, Yeon-Suk (Dept of Information Security, Seoul Women's University) ;
- Choi, Yu-Na (Dept of Multimedia, Seoul Women's University) ;
- Yang, Jin-Seok (Dept of Electrical and Computer Engineering, Sungkyunkwan University)
- Published : 2013.11.08
Abstract
방화벽, 백신, IPS, 취약점 점검 시스템 등 중요 시스템의 보안을 위해 다수의 소프트웨어들이 운용되고 있다. 그 중 취약점 점검 시스템은 중요 서버의 보안 취약점을 점검하여 사전에 보안 위협을 예방한다는 측면에서 중요하다. 그러나 서버의 취약점을 점검해주는 소프트웨어 자체에 취약점이 존재한다면 취약점 보완을 위해 도입한 시스템이 취약점을 내포하고 있는 모순된 상황을 발생시킨다. 본 논문에서는 취약점 점검 시스템의 매니저와 에이전트의 점검 패킷을 분석하여 데이터 필드에 임의의 값을 주입하는 SPIKE 기반의 퍼즈 테스팅 기법으로 매니저와 에이전트 모두에서 DoS(Denial of Service) 취약점을 발견하였다. 해당 취약점은 다수의 SQL 세션을 생성하고 시스템의 CPU 점유율을 100%로 높여 시스템의 다른 서비스조차 이용할 수 없는 상태를 보였다.
Keywords