APIdays Paris 2019 - Innovation @ scale, APIs as Digital Factories' New Machi...
Your SlideShare is downloading.
×
Check these out next
2017 IoTcube(화이트박스)를 활용한 분석 사례 및 플랫폼 개선 아이디어
- 1. 2017 보안취약점 자동 분석 아이디어 공모전 IoTcube 를 활용한 분석 사례 및 플랫폼 개선 아이디어 가천대학교 최한동 써드아이시큐리티 이선우
- 2. 목차 (Table of Contents) 1. 개요 1. 목적 2. 진단 대상과 주요 점검 항목 2. 진단 과정 1. OpenCV 2. The Sleuth Kit 3. SpiderMonkey 4. FFmpeg 3. 결론 1. 문제점 및 정리 2. 후기 2
- 3. 개요 3
- 4. 1. 개요 ▪ IoTcube? 4 참고: https://iotcube.korea.ac.kr/
- 5. 1. 개요 ▪ White-box Test > HMark 5 참고: https://iotcube.korea.ac.kr/
- 6. 1. 진단 대상과 주요 점검 항목 오픈소스 명 오픈소스 URL CVE 코드 OpenCV https://github.com /opencv/opencv CVE-2013-6629 The Sleuth Kit https://www.sleut hkit.org CVE-2012-1571 SpiderMonkey https://developer. mozilla.org/en- US/docs/Mozilla/Pr ojects/SpiderMonk ey CVE-2016-1879 FFmpeg https://ffmpeg.org CVE-2016-1897 CVE-2011-3893 6
- 7. 진단 과정 7
- 8. 2. OpenCV 진단 과정 OpenCV : 컴퓨터 시각 처리 연산 및 머신 러닝 SW 오픈소스 라이브러리 공식 홈페이지 or GitHub 에 등록된 소스코드 다운로드! 8
- 9. 2. OpenCV 진단 과정 9 White-box Test > HMark 이용 소스코드 분석
- 10. 2. OpenCV 진단 과정 10 분석 결과물인 오픈소스명.hidx 확인
- 11. 2. OpenCV 진단 과정 11 결과물을 IoTcube 홈페이지에 업로드하여 최종 분석 결과 확인
- 12. 2. OpenCV 진단 과정 12 취약한 소스코드 & CVE 1건 탐지!
- 13. 2. OpenCV 진단 과정 13
- 14. 2. OpenCV 진단 과정 14 취약점 분석 결과 개발자에게 전송!
- 15. 2. The Sleuth Kit 진단 과정 15 The Sleuth Kit : 파일 시스템 포렌식 증거 수집을 위해 개발된 도구 GitHub 에서 소스코드 다운로드!
- 16. 2. The Sleuth Kit 진단 과정 16 White-box Test > HMark 이용 소스코드 분석
- 17. 2. The Sleuth Kit 진단 과정 17 취약한 소스코드 3건 & CVE 2건 탐지!
- 18. 2. The Sleuth Kit 진단 과정 18
- 19. 2. The Sleuth Kit 진단 과정 19 취약점 분석 결과 개발자에게 이메일 전송!
- 20. 2. SpiderMonkey 진단 과정 SpiderMonkey : Mozilla 사의 C/C++ 언어로 작성된 오픈소스 자바스크립트 엔진 20
- 21. 2. SpiderMonkey 진단 과정 White-box Test > HMark 이용 소스코드 분석 21
- 22. 2. SpiderMonkey 진단 과정 22 분석 결과물인 오픈소스명.hidx 확인
- 23. 2. SpiderMonkey 진단 과정 23 결과물을 IoTcube 홈페이지에 업로드하여 최종 분석 결과 확인
- 24. 2. SpiderMonkey 진단 과정 24 취약한 소스코드 2건 & CVE 1건 탐지!
- 25. 2. SpiderMonkey 진단 과정 25 취약한 소스코드 내 함수 확인 1
- 26. 2. SpiderMonkey 진단 과정 26 취약한 소스코드 내 함수 확인 2
- 27. 2. SpiderMonkey 진단 과정 27 Mozilla 사 버그 리포트 커뮤니티로 이동
- 28. 2. SpiderMonkey 진단 과정 28 취약점 분석 결과 커뮤니티에 게시!
- 29. 2. FFmpeg 진단 과정 FFmpeg : 멀티미디어 인코드, 디코드, 트랜스코드, 변환, 스트리밍 등이 가능한 크로스 플랫폼 프레임워크 공식 홈페이지 or GitHub 에 등록된 소스코드 다운로드! 29
- 30. 2. FFmpeg 진단 과정 30 White-box Test > HMark 이용 소스코드 분석
- 31. 2. FFmpeg 진단 과정 31 분석 결과물인 오픈소스명.hidx 확인
- 32. 2. FFmpeg 진단 과정 32 결과물을 IoTcube 홈페이지에 업로드하여 최종 분석 결과 확인
- 33. 2. FFmpeg 진단 과정 33 취약한 소스코드 2건 & CVE 2건 탐지!
- 34. 2. FFmpeg 진단 과정 34
- 35. 2. FFmpeg 진단 과정 35 해외 CTF 대회에서도 출제된 CVE-2016-1897 보안 취약점
- 36. 2. FFmpeg 진단 과정 36
- 37. 2. FFmpeg 진단 과정 취약점 분석 결과 개발자에게 전송! 37
- 38. 결론 38
- 39. 3. 문제점 및 정리 코드 클론 기반 소스코드 분석 알고리즘? → MD5 해시 값이 임의로 변경된 것을 탐지 39
- 40. 3. 문제점 및 정리 그 밖에도… 브라우저 쿠키 관련 홈페이지 에러 .c, .cpp (C/C++ 언어) 형식 파일만 지원해서 Python, JavaScript 등 소스코드 분석 제한됨 40
- 41. 3. 문제점 및 정리 (+추가 분석) 프로그램 실행 도중 유니코드 에러 발견! 41
- 42. 3. 문제점 및 정리 리버싱 결과, 프로그램 소스코드 내 UTF-8 인코딩 처리 부재가 원인 42
- 43. 3. 후기 IoTcube 를 사용하면 누구나 보안 취약점을 찾을 수 있습니다! 43
- 44. 감사합니다 최한동 wschd770@gmail.com 이선우 swoo101367@gmail.com
