Core Concepts
AI 기술을 활용하여 웹 애플리케이션의 디렉토리 무차별 공격 기법을 향상시킬 수 있다.
Abstract
이 논문은 웹 취약점 평가 및 침투 테스트(Web VAPT)에서 중요한 디렉토리 무차별 공격 기법을 개선하는 방법을 제안합니다. 기존의 단순 단어 목록 기반 공격 방식은 많은 시도에도 불구하고 성공률이 낮습니다.
이 연구에서는 두 가지 새로운 접근 방식을 제안합니다:
확률 기반 접근 방식: 과거 데이터에서 추출한 디렉토리 정보를 활용하여 공격 대상 웹 애플리케이션의 디렉토리 구조를 예측하고 우선순위를 두어 공격합니다.
언어 모델 기반 접근 방식: 언어 모델을 활용하여 디렉토리 경로를 생성하고 공격에 활용합니다. 이를 통해 기존 단어 목록 기반 접근 방식보다 효과적으로 숨겨진 디렉토리를 찾아낼 수 있습니다.
실험 결과, 제안된 두 가지 접근 방식 모두 기존 방식에 비해 우수한 성능을 보였습니다. 특히 언어 모델 기반 접근 방식은 평균 969%의 성능 향상을 보였습니다.
Stats
대학, 병원, 기업, 정부 웹 애플리케이션 총 100만 개의 URL로 구성된 데이터셋을 구축했습니다.
기존 단어 목록 기반 공격 방식의 커버리지 비율은 낮은 편이었습니다.
단어의 어간 분석 결과, 단어 변형이 많지 않아 단어 목록 기반 접근의 한계가 있음을 확인했습니다.
Quotes
"AI 기술을 활용하여 웹 애플리케이션의 디렉토리 무차별 공격 기법을 향상시킬 수 있다."
"제안된 두 가지 접근 방식 모두 기존 방식에 비해 우수한 성능을 보였습니다. 특히 언어 모델 기반 접근 방식은 평균 969%의 성능 향상을 보였습니다."