The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

A Study on Validation Testing for Input Files of MS Word-Processor

MS 워드프로세서의 입력 파일에 대한 유효성 테스팅 방법에 관한 연구

  • 윤영민 (단국대학교 전산통계학과) ;
  • 최종천 (단국대학교 정보컴퓨터과학과) ;
  • 유해영 (단국대학교 정보컴퓨터학과) ;
  • 조성제 (단국대학교 정보컴퓨터학과)
  • Published : 2007.08.31
Download PDF
⟨ Previous Next ⟩

Abstract

In this paper, we propose a method to analyze security vulnerabilities of MS word-processor by checking the validation of its input files. That is, this study is to detect some vulnerabilities in the input file of the word processor by analyzing the header information of its input file. This validation test can not be conducted by the existing software fault injection tools including Holodeck and CANVAS. The proposed method can be also applied to identify the input file vulnerabilities of Hangul and Microsoft Excel which handle a data file with a header as an input. Moreover, our method can provide a means for assessing the fault tolerance and trustworthiness of the target software.

본 논문에서는 MS 워드프로세서의 입력 파일에 대한 유효성을 검사하여 MS 워드프로세서의 보안 취약성을 분석하는 방법을 제안하였다. 즉, 워드프로세서에 적용되는 입력 파일의 헤더 정보를 분석함으로써, 그 입력 파일에 존재하는 취약성을 검출하였다. 본 논문에서 수행한 입력 파일 유효성 테스팅은 기존 결함 주입 도구인 Holodeck 및 CANVAS 등으로는 테스트할 수 없다. 제안한 방법은 헤더를 가진 데이터 파일을 입력으로 사용하는 한글, MS 엑셀 등의 입력 파일에 대한 취약성 검출에도 적용될 수 있다. 또한, 대상 소프트웨어들의 결함 허용성 평가 및 신뢰성 평가에도 사용될 수 있다.

Keywords

References

  1. http://www.cert.org
  2. W. Arbaugh, W. Fithen and J. Mchugh, 'Windows of vulnerability : A case study analysis,' IEEE Computer, Vol.33, No.12, pp.52-59, 2000 https://doi.org/10.1109/2.889093
  3. P. Broadwell and E. Ong, 'A comparison of static analysis and fault injection techniques for developing robust system services,' Technical report, Computer Science Division, University of California, Berkeley, 2002
  4. D. Peled, 'Software reliability methods,' Springer, 2001
  5. E. Clarked and J. Wing, 'Formal methods : State of the art and future directions,' ACM Computing Surveys, Vol. 28, No. 4, pp.626-643, 1996 https://doi.org/10.1145/242223.242257
  6. C. Pfleeger, S. Pfleeger and M. Theofanos, 'A methodology for penetration testing,' Computers and Security, Vol. 8, No.2, pp.613-620, 1990
  7. James A. Whittaker, 'How to break software,' Addison-Wesley, 2002
  8. James A. Whittaker and Herbert H. Thompson, 'How to break software security,' Addison-Wesley, 2003
  9. H. Thompson, J. Whittaker and F. Moatty 'Software Security Vulnerability Testing In Hostile Environments,' In Proceedings of the 17th ACM Software Applications Conference, pp.260-264, 2002 https://doi.org/10.1145/508791.508844
  10. http://cve.mitre.org
  11. http://www.securityfocus.com
  12. http://www.securityinnonation.com
  13. http://www.immunitysec.com
  14. http://www.coresecurity.com