스택 기반 공격에 대한 다양한 방어책이 제시되자, 공격자들이 다른 방향으로 Attack vector를 찾고자 눈을 돌린 곳이 바로 heap 영역이다. 그래서 힙 기반의 공격은 스택 기반 공격에 비해 비교적 늦게 연구가 시작되었다. 하지만 이내 대부분의 운영체제에서 Exploit이 가능함을 확인하게 되었다. 1998년 DilDog에 의해 발표된 “L0pht ...
Canaries는 Classic buffer overflow 에 대한 방어책으로써 비교적 초창기에 등장한 대표적인 보호기법이다. Canaries의 이름의 유래는 새(한국어 : 카나리아)로부터 유래했다. 왜 뜬금없이 새일까? 이는 canary in a coal mine에서 비롯된 것으로, 광부들이 광산에서 작업을 할 때 일산화탄소 등 독가스 중독으로 사망하는...
memory error 를 이용한 취약점 중 가장 널리 알려져있는 것은 아마 Stack-based buffer overflow일 것이다. 누구나 한번쯤은 들어보았고 충분히 이해할만한 단순한 개념을 기반으로하지만 이 취약점은 현재까지도 여전히 유효하다. Stack-based buffer overflow는 말 그대로 스택 버퍼에 저장될 내용이 그 공간의 한계를...
메모리 취약점 및 그를 악용한 exploit 기법은 지난 25년간 꾸준히 가장 위험한 소프트웨어 버그의 상위 랭크를 차지하고 있다. 이것들을 막지 못하고 있는 이유는 도대체 무엇인가? 시스템을 기존보다 덜 취약하게 만들거나, 미래에 닥쳐올 위협들을 미리 예측하고 피할 수는 없는걸까? 본 포스트에서는 메모리 취약점의 과거와 현재 그리고 미래를 통합적으로 살펴...
한빛미디어 출판에서 '이것이 ~다' 시리즈의 일환으로 MariaDB 입문서가 출시되었다. 한국 저자의 저서이다. 마리아 database는 기존 mysql이 오라클의 라이센스 이슈 발생으로 혼란을 가져올 무렵, 오픈소스 버전으로 파생되어 제공되게 된 database 시스템이다. 때문에 기존 mysql과 동일한 구조에 기반하고 있다. 이 책은 Windows 를...
앞의 포스팅 : [논문리뷰] Fuzzing: Art, Science, and Engineering - Part 4 Input Evaluation 이 단계에서는 앞의 Input generation 을 통해 얻은 입력값을 PUT의 input으로 하는 fuzzer execute 작업을 수행하고, 그 수행결과를 어떻게 평가할 것인지를 정한다. 이 단계에서 단순히 ...
앞의 포스팅 : [논문리뷰] Fuzzing: Art, Science, and Engineering - Part 3 Input Generation 본 장에서는 Input Generation을 위해 사용되는 다양한 기법들을 설명한다. 테스트 케이스를 통해 전달되는 데이터의 내용이 곧바로 버그를 발생시키는지의 여부와 직접적인 연관이 있기 때문에, 어떠한 입력값을...
앞의 포스팅 : [논문리뷰] Fuzzing: Art, Science, and Engineering - Part 2 Preprocess 어떤 퍼저들은 첫 번째 fuzz iteration을 수행하기 전에 fuzz configuration의 초기 설정을 수정하기도 한다. 이러한 전처리 작업(pre-processing)은 보통 PUT을 Instrumentation...
Microsoft : https://docs.microsoft.com/en-us/dotnet/fsharp/get-started/get-started-command-linehttps://docs.microsoft.com/en-us/dotnet/fsharp/introduction-to-functional-programming/ Book : "Functional...
F# 마이크로소프트(Microsoft)가 OCaml을 바탕으로 개발하고 있는 .NET Framework에서의 함수형 언어. Visual Studio 2010 부터 추가되어 있다. 부작용을 제어할 수 있도록 Computation Expressions 등을 제공한다. F# 은 on Linux, macOS, Android, iOS, Windows 등의 운영체제에...
Divide and Conquer 라 함은, 주어진 N개의 Input에 대하여 disjoint인 작은 sub problem들로 나누고, 하위 문제들에 대하여 재귀적으로 각각의 솔루션을 구한 결과를 합쳐서 전체 문제에 대한 해답을 찾는 것이다.Dynamic Programming 도 문제들을 쪼개어 각각 해결해나간다는 점에서 유사하지만, 한 가지 구별되는 큰 ...
KAIST CSRC(사이버보안연구센터)의 VALENTIN J.M. MANÈS 연구원과, 소프트웨어보안 연구실 소속(출신) 학생들, 그리고 차상길 교수님과 MAVERICK WOO 등 Fuzzing 분야의 기라성과 같은 거장 교수님들이 참여하신 Fuzzing survey 논문이 arxiv에 공개되었다. 특히 유수의 학회 뿐만 아니라 Github을 통해 오픈소스...
Software Security Engineer
자유로운 창작이 가능한 기본 포스트
소장본, 굿즈 등 실물 상품을 판매하는 스토어
정기 후원을 시작하시겠습니까?
설정한 기간의 데이터를 파일로 다운로드합니다. 보고서 파일 생성에는 최대 3분이 소요됩니다.
포인트 자동 충전을 해지합니다. 해지하지 않고도 ‘자동 충전 설정 변경하기' 버튼을 눌러 포인트 자동 충전 설정을 변경할 수 있어요. 설정을 변경하고 편리한 자동 충전을 계속 이용해보세요.
중복으로 선택할 수 있어요.