파라미터 탐지와 뮤테이션을 이용한 웹 브라우저 퍼징 도구

Abstract

인터넷 기술의 발전으로 인해 컴퓨터와 인터넷 사용이 일반화되었으며 기술의 고도화로 결제 서비스, 금융 거래 등 정보보안을 요구하는 서비스도 활발히 이용되고 있다. 하지만 인터넷 이용률과 의존도가 높아짐에 따라 역기능 또한 다양해져서 해킹피해, 개인정보유출, DDoS 등과 같은 보안 사고가 연일 끊이지 않는다. 컴퓨터 환경에서 발생하는 보안 사고는 바이러스, 웜, 스파이웨어와 같은 악성코드들로 인해 발생하는 경우가 많으며, 홈페이지나 소프트웨어 취약점은 악성코드의 전파경로로 이용될 수 있다. 소프트웨어에 취약점이 존재할 경우 악의적인 사용자는 이를 이용하여 허용된 권한 이상의 동작을 수행하고 중요한 정보를 열람하여 개인정보를 유출하거나 심각한 보안 사고를 일으킬 수 있다. 따라서 소프트웨어의 취약점을 신속히 파악하여 제거하는 것이 보안 사고를 줄일 수 있는 근본적인 방안 중 하나이다. 소프트웨어 취약점 분석 방법은 화이트 박스 테스트, 블랙 박스 테스트 등이 있다. 이 중 블랙 박스 테스트는 취약점 점검 대상 소프트웨어에 데이터를 입력하여 얻어지는 결과를 바탕으로 테스트를 진행하는 방식으로, 전문적인 지식이나 내부 로직에 대한 이해 없이도 비교적 쉽게 테스트를 수행할 수 있다는 장점을 가진다. 본 연구에서는 블랙박스 테스트 기법의 하나로 소프트웨어에 비정상적인 값을 주입하고 모니터링하여 소프트웨어의 결함을 발견하는 퍼징 기법을 이용하여 웹 브라우저의 취약점을 탐지하는 퍼징 도구를 설계, 구현하였다. 제안된 퍼징 도구는 웹 페이지를 수집하여 템플릿을 구성하고, 템플릿의 소스코드를 분석하여 파라미터를 탐지한다. 파라미터 부분에 퍼징 오라클에 정의된 비정상 값을 입력하여 테스트케이스를 생성하며, 테스트 케이스를 브라우저에 주입한 후 그 실행결과를 모니터링하여 브라우저 취약점 존재 여부를 판단한다. 이 도구는 특정 웹 언어에 대한 의존도를 낮추어 다양한 언어와 버전에 대해 퍼징을 수행할 수 있으며, 웹 페이지에 포함된 플러그인에 대해서도 취약점 존재 여부를 점검할 수 있다는 장점을 지닌다. 웹 브라우저는 웹 환경에서 가장 많이 사용하는 애플리케이션 중 하나로 취약점이 악용될 경우 그 영향도 매우 크기 때문에 본 퍼징 도구가 취약점 탐지 분야에서 광범위하게 이용될 수 있을 것으로 기대한다.

Rapid advances in the information and computer technologies have brought us the wide spread of the computers and the Internet's World Wide Web in our daily life. Such kinds of changes even include services that require high-level information security like banking or many other types of financial transactions. However, being too much dependent upon web-based transactions have shown severe adverse effects, for example, security mishaps, with startling varieties; which includes being a victim of hacking, data spill and DDoS (Distributed Denial of Service) attacks. Computer security mishaps are typically caused by malicious codes, such as computer virus, worm, or spyware, and they rapidly spread to other vulnerable web pages and software packages as well. Any vulnerability in software can allow a malicious user to perform an unauthorized action and to disclose something important that should be kept secure. Furthermore, it can result in the leak of personal information or other serious security accidents. Therefore, an early detection and elimination of any vulnerability in software is one of fundamental solutions to reduce any possible security accidents. Software vulnerability analysis can be done using either a white box testing technique or a black box testing technique. Among those two types of techniques, black box testing is a type of testing that we enter a set of test data into the target software and observe the outputs. Using this type of testing technique is useful when we want to conduct our testing without much knowledge and understanding of the software internal logic. Fuzzing is one of automated black-box testing techniques, which finds any implementation defects in software by providing invalid, unexpected, or random data in an automated fashion and monitoring the result. In this study, we design and implement a fuzzing tool that discovers the vulnerabilities of web browsers. Web browsers arethe most widely used software packages in web environment. Therefore, a vulnerability abuse in a web browser can cause much more extensive impact than any other web applications. A web browser vulnerability detection in a fuzzing tool we propose is performed as follows: 1) collects web pages, 2) compromises templates, 3) detects parameters by analyzing the codes of template, 4) generates test cases by providing invalid input data defined in a fuzzing oraclefor parameters of templates, 5) injects test cases to web browser, and 6) verifies whether any vulnerability exists or not by monitoring the execution result. Our approach has the following benefits compared to others: using templates in the test case generation allows the tool to be applied to a variety of languages and versions, and it can also be used to verify the vulnerabilities of plug-ins included in a web browser.