- 웹 응용프로그램의 삽입취약점 탐지를 위한 문자열분석
- ㆍ 저자명
- 최태형,김정준,도경구,Choi. Tae-Hyoung,Kim. Jung-Joon,Doh. Kyung-Goo
- ㆍ 간행물명
- 情報保護學會論文誌
- ㆍ 권/호정보
- 2007년|17권 6호|pp.149-153 (5 pages)
- ㆍ 발행정보
- 한국정보보호학회
- ㆍ 파일정보
- 정기간행물| PDF텍스트
- ㆍ 주제분야
- 기타
이 논문은 한국과학기술정보연구원과 논문 연계를 통해 무료로 제공되는 원문입니다.
삽입취약점은 웹 응용프로그램에 공격자가 악성코드를 정상적인 입력 값 대신 넣어 시스템에 피해를 입힐 수 있는 대표적인 취약점이다. 삽입공격에서 안전한 애플리케이션은 외부에서 들어오는 입력 값에 들어있을 수 있는 악성문자를 여과하도록 작성해야 한다. 특정 문자의 여과 여부는 주요지점에서 문자열 변수에 특정 문자가 포함될 수 있는지를 검사하여 정적으로 알아낼 수 있다. 본 논문에서는 조건식의 의미를 분석에 적용하는 향상된 방식으로 응용프로그램의 삽입 취약점을 정적으로 판정하는 방법을 제안한다.
One common type of web-application vulnerabilities is injection flaw, where an attacker exploits faulty application code instead of normal input. In order to be free from injection flaw, an application program should be written in such a way that every potentially bad input character is filtered out. This paper proposes a precise analysis that statically checks whether or not an input string variable may have the given set of characters at hotspot. The precision is accomplished by taking the semantics of condition into account in the analysis.