한국정보처리학회:학술대회논문집 (Proceedings of the Korea Information Processing Society Conference)

한국정보처리학회 (Korea Information Processing Society)
권호 표지

H-Fuzz: 스냅샷 기반의 실용적인 하이브리드 퍼징

H-Fuzz: A Snapshot-Based Practical Hybrid Fuzzing

  • 정재영 (서울대학교 전기정보공학부) ;
  • 이병영 (서울대학교 전기정보공학부)
  • Jae-young Chung (Dept. of Electrical and Computer Engineering, SeoulNational University) ;
  • Byoung-young Lee (Dept. of Electrical and Computer Engineering, SeoulNational University)
  • 발행 : 2024.05.23
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

프로그램의 버그는 해커에 의해 악용될 수 있기 때문에, 이를 사전에 발견하는 것이 매우 중요하다. 최근에는 프로그램의 취약점을 자동으로 찾기 위해 하이브리드 퍼징 기술이 연구되고 있다. 우리는 기존 하이브리드 퍼저들의 한계점인 부족한 확장성을 해결하고자, 스냅샷 기반 하이브리드 퍼저인 H-Fuzz 를 제안한다. H-Fuzz 는 스냅샷 기반 퍼징을 도입하여 하이브리드 퍼징의 확장성 부족 문제를 해결하였다. 그리고 기존 커버리지 기반 퍼저에 비해 H-Fuzz 가 버그를 발견하는데 효과적임을 실험을 통해 확인하였다.

키워드

과제정보

이 논문은 2024 년도 정부(과학기술정보통신부)의 재원으로 정보통신기획평가원의 지원을 받아 수행된 연구임 (No.2020-0-01840,스마트폰의 내부데이터 접근 및 보호 기술 분석)

참고문헌

  1. M. Zalewski, "american fuzzy lop," http://lcamtuf.coredump.cx/afl/, 2015.
  2. P. Godefroid, M. Y. Levin, and D. A. Molnar, "Automated whitebox fuzz testing," in Proceedings of the 15th Annual Network and Distributed System Security Symposium (NDSS), San Diego, CA, Feb. 2008.
  3. N. Stephens, J. Grosen, C. Salls, A. Dutcher, R. Wang, J. Corbetta, Y. Shoshitaishvili, C. Kruegel, and G. Vigna, "Driller: Augmenting fuzzing through selective symbolic execution," in Proceedings of the 2016 Annual Network and Distributed System Security Symposium (NDSS), San Diego, CA, Feb. 2016.
  4. R. Majumdar and K. Sen, "Hybrid Concolic Testing," in Proceedings of the 29th International Conference on Software Engineering (ICSE), Minneapolis, MN, May 2007.
  5. Yun, Insu, et al. "{QSYM}: A practical concolic execution engine tailored for hybrid fuzzing." 27th USENIX Security Symposium (USENIX Security 18). 2018.
  6. C.-K. Luk, R. Cohn, R. Muth, H. Patil, A. Klauser, G. Lowney, S. Wallace, V. J. Reddi, and K. Hazelwood, "Pin: building customized program analysis tools with dynamic instrumentation," in Proceedings of the 2005 ACM SIGPLAN Conference on Programming Language Design and Implementation (PLDI), Chicago, IL, Jun. 2005.
  7. Leonardo De Moura and Nikolaj Bjorner. 2008. Z3: An Efficient SMT Solver. In Proceedings of the Theory and Practice of Software, 14th International Conference on Tools and Algorithms for the Construction and Analysis of Systems (TACAS'08/ETAPS'08). 337-340.
  8. A. Souchet, "what the fuzz", https://github.com/0vercl0k/wtf, 2021.
  9. F. Saudel and J. Salwan, "Triton: A dynamic symbolic execution framework," in Symposium sur la securit ' e des technologies de l'information 'et des communications, SSTIC, France, Rennes, June 3-5 2015.
  10. Google Project Zero, "WinAFL," https://github.com/googleprojectzero/winafl, 2016