버그 헌팅 (beogeu heonting)

취약점을 찾을 수 있는 방법은 크게 블랙박스 테스트 그리고 화이트 박스 테스트가 있습니다.

블랙박스 테스트는 대상 프로그램에 대한 정보나 소스코드 없이 점검을 할수 있는 것이고 화이트 박스 테스트는 프로그램의 소스코드를 볼 수 있는 상황에서 점검을 수행하는 것입니다.

구분	블랙박스	화이트박스
점검방법	- 리버싱 - 퍼징	- 소스코드 리뷰 - 소스코드 자동 점검 툴
장점	- 빠른 점검 기능 - 쉬운 점검 환경 구성 - 예장하지 못한 취약점 발견	- 거의 완전한 커버리지 가능 - 빠른 원인 분석 가능
단점	- 커버리지 문제 발생 - 원인 분석 시간 증가 - 점검 난이도 증가	- 개발 환경 구성 필요 - 점검 복잡도 증가 - 소스코드 확보 어려움

일반적으로 오픈소스를 제외하면 대상 프로그램의 소스코드를 가지고 있는 경우는 많지 않아 대부분 블랙박스 테스트를 많이 하게 된다고 합니다.

어느 정도 자동화가 가능하다는 장점 때문에 버그헌팅을 수행하는 많은 해커들이 퍼징을 선호하지만 퍼징 역시 장단점이 존재하며 발견하지 못하는 유형의 취약점이 많습니다.

따라서 어느 한 가지 방식을 고집하기보다는 대상 프로그램의 특성과 발견하려는 취약점 유형 등에 따라 선택해야 한다.