ISBN XXX-XX-XXX-XXXX-X-XXXXX 웹어플리케이션취약점조치방법 (Ⅰ)

Size: px
Start display at page:

Download "ISBN XXX-XX-XXX-XXXX-X-XXXXX 웹어플리케이션취약점조치방법 (Ⅰ)"

Transcription

1 ISBN XXX-XX-XXX-XXXX-X-XXXXX 웹어플리케이션취약점조치방법 (Ⅰ)

2 웹어플리케이션취약점조치방법 (Ⅰ) 부서 : 첨단연구망센터첨단연구망정보보호실제출자 : 이행곤 (hglee@kisti.re.kr) 최장원 (jwchoi@kisti.re.kr) 정용환 (paul7931@kisti.re.kr) 이형주 (lhj275@kisti.re.kr)

3 [ 목차 ] 제 1 장서론 1 제 2 장관련연구 2 제 1 절웹어플리케이션취약점유형 2 1. 개요 2 2. 웹취약점주요탐지유형 3 제 2 절웹취약점유형별주요탐지현황 2 제 3 장웹취약점유형별상세조치방안 2 제 1 절관리자페이지노출 4 제 2 절디렉터리나열 4 제 3 절시스템관리 4 제 4 절 WebDAV 4 제 5 절불필요한 Method 허용 4 제 6 절취약한파일존재 4 제 7 절계정관리 4 제 4 장결론 1 참고자료 2

4 제 1 장서론 최근웹을이용한침해사고를미연에방지하기위한하나의방법으로써웹취약점분석에관한연구가활발히진행되고있다. 네트워크환경이실생활에필수요소로자리잡은지금웹은모든응용계층중에가장많이사용하는프로토콜이되었다. 이러한환경의변화로많은양의웹응용프로그램들이등장하게되었고, 이들의취약점을이용한공격사례들이증가하게되었다. 웹서비스는개방된환경에서보안장비를거치치않고사용자와서버간통신이연결되는구조적인취약한특성으로인해악의적인공격자에의한공격타겟이되기쉽다. 이러한공격을보호하기위한대책으로보안장비도입을통한실시간모니터링, 보안정책관리등의보안조치를수행하고있다. 하지만이러한보안시스템들은웹어플리케이션취약점의근원적인문제해소를보장하지못한다. 따라서날로지능화되는공격기법에대응하기위해서는웹어플리케이션에대한지속적인취약점점검및개선조치가반드시필요한실정이다. 이에, 과학기술사이버안전센터에서는선제적인웹취약점제거를통해보안사고를미연에방지할수있도록자동화기반의취약점진단시스템을구축 보급하여대상기관에서운영중인웹사이트의균형적인보안수준향상을도모하고있다. 본기술보고서에서는실제운영되고있는웹사이트환경에서블랙박스테스트를통해주로탐지되는취약점패턴을중심으로취약점에대한상세한설명과취약점개선에필요한조치방안을기술하고자한다.

5 제 2 장 관련연구 제 1 절 웹어플리케이션취약점유형 본절에서는웹어플리케이션에서발생하는취약점의정의와주요탐지유형에 대하여살펴본다. 1. 웹취약점주요탐지유형 과학기술사이버안전센터에서정의한 17 개의취약점유형은아래와같다. 관리자페이지노출취약점일반적으로추측이가능한관리자페이지경로 등 를사용하거나 프로그램설계상의오류 인증미흡으로인해관리자메뉴에직접접근이가능하며권한인증이가능한취약점 디렉터리나열취약점서버내의모든디렉터리혹은중요한정보가포함된디렉터리에대해인덱싱이가능하게설정되어중요파일정보가노출될수있는취약점 시스템관리취약점응용프로그램설치중에생성되는설치 임시파일이존재하거나웹상에서윈도우로그인창이노출되는등시스템상설정미비로인해발생하는취약점 WEBDAV 취약점 IIS 일부버전의취약점으로악의적인 HTTP 요청을이용하여 FTP나시스템에직접접근하지않고원격에서파일을수정및처리가가능한취약점 불필요한 Method 허용취약점웹서비스제공시불필요한 등 허용으로외부공격자에의해악성파일을업로드하거나중요파일에대한조작이가능해지는취약점 취약한파일존재취약점웹루트하위에내부문서나백업파일, 로그파일, 압축파일과같은파일이존재할경우파일명을유추하여파일명을알아내고, 직접요청하여해킹에필요한서비스정보를획득할수있는취약점

6 계정관리취약점회원가입시에안전한패스워드규칙이적용되지않아서취약한패스워드로회원가입이가능할경우무차별대입공격을통해패스워드가누출될수있는취약점 실명인증취약점본인확인과정상에서취약한프로그램을악용하여사용자정보를변조하는공격으로관리자위장을통해개인정보를수집하거나기타공격에악용할수있는취약점 전송시개인정보노출취약점프로그램이보안과관련된민감한데이터를평문으로통신채널을통해서송 수신할경우, 통신채널스니핑을통해인가되지않은사용자에게민감한데이터가노출될수있는취약점 파일다운로드취약점외부입력값에대해경로조작에사용될수있는문자를필터링하지않는취약점을악용하여예상밖의접근제한영역에대한경로문자열구성이가능해져시스템정보누출, 서비스장애등을유발시킬수있는취약점 파일업로드취약점공격자가웹사이트에있는게시판이나자료실의파일업로드기능을이용하여공격자가만든특정공격프로그램을업로드하여웹서버의권한획득이가능한취약점 소스코드내중요정보노출취약점소스코드주석문에민감한정보 ( 개인정보, 시스템정보등 ) 이포함되어있는경우, 외부공격자에의해패스워드등보안관련정보가노출될수있는취약점 공개용웹게시판취약점공개용게시판을사용할경우인터넷에공개된각종취약점정보로인해홈페이지변조및해킹경유지로사용될수있는취약점 크로스사이트스크립트 (XSS) 취약점공격자가클라이언트스크립트를악용하여웹사이트에접속하려는일반사용자로하여금공격자가의도한명령이나작업을수행하는공격으로, 세션탈취, 웹사이트위변조, 악성스크립트삽입및실행, 접근경로리다이렉트등의다양한공격을유발할수있는취약점 구문삽입 (SQL-Injection) 취약점 URL 요청또는웹요청에포함되는웹어플리케이션에서입력폼및 URL입력란에 SQL 문을삽입하는형태의공격으로시스템내부정보를열람또는조작할수있는취약점 권한인증취약점웹어플리케이션상에서모든실행경로에대해서접근제어를검사하지않거나불완전하게

7 검사하는취약점을이용하여임의의명령실행이가능한악의적인파일을서버로업로드하여권한을탈취할수있는취약점 에러처리취약점웹서버에별도의에러페이지를설정하지않은경우, 에러메시지를통해서버데이터정보등공격에필요한정보가노출되는취약점 제 2 절 웹취약점유형별주요탐지현황 과학기술사이버안전센터에서는웹어플리케이션분야의취약점을탐지하기위하여다수의패턴을보유하고있으며, 앞서분류된웹취약점유형들이포함하고있는주요탐지패턴현황은아래와같다. 이번보고서에는전체 17개취약점유형중 7개의유형만다루도록한다. 순번취약점유형주요탐지패턴 1 관리자페이지노출취약점 [1-1] 관리자페이지노출 [2-1] 디렉토리목록화패턴발견 2 디렉터리나열취약점 [2-2] Microsoft FrontPage 디렉토리목록화 [2-3] Microsoft FrontPage _vti_cnf' 정보유출 [3-1] Apache Multivies Attack [3-2] HTTP Strict-Transport-Security 헤더누락 [3-3] 캐시화가능한 SSL 페이지발견 3 시스템관리취약점 [3-4] 세션쿠키에서 HttpOnly 속성누락 [3-5] 암호화된세션 (SSL) 쿠키의누락된보안속성 [3-6] HTTP.sys 원격코드실행 [3-7] 영구적쿠키에중요세션정보포함 [3-8] Microsoft FrontPage Extensions사이트손상 4 WEBDAV 취약점 [4-1] WebDAV 취약점 5 불필요한 Method 허용취약점 [5-1] TRACE 및 TRACK HTTP 메소드사용 [5-2] 안전하지않은 HTTP 메소드사용 [6-1] 파일대체버전, 애플리케이션테스트스크립트발견 [6-2] CMME 정보유출 6 취약한파일존재취약점 [6-3] URL 경로재지정을통한피싱 [6-4] PHP phpinfo.php 정보유출 [6-5] 임시파일및아카이브파일다운로드 7 계정관리취약점 [7-1] 올바르지않은계정잠금

8 제 3 장웹취약점유형별상세조치방안 제 1 절관리자페이지노출 일반적으로추측하기쉬운 URL(ex: /admin, /manager) 을사용하고있어, ID/ 패스워드에대한크랙또는접근허가정책에대해요청하는부분의정보를변경함으로써접근이가능한경우가존재하는데, 웹관리자의권한이노출될경우홈페이지의위 변조뿐만아니라취약점정도에따라서웹서버의권한까지도노출될위험성이존재함 [1-1] 관리자페이지노출 < 관리자페이지노출을통한비인가자접근 > 웹서비스관리자페이지경로가외부로노출되는취약점으로, URL 주소창에추측가능한페이지주소 ( 예시 : admin, adm, cms 등 ) 로관리자페이지가구성될경우관리자계정탈취로인한권한상승의위험이있음 < 관리자전용로그인페이지 >

9 1) 웹서버내에서의특정 IP주소에서만접근허용 ➀ 윈도우 IIS에서관리자 IP 설정방법 [ 설정 ] [ 제어판 ] [ 관리도구 ] [ 인터넷서비스관리자 ] [ 인터넷정보서비스 ] [ 관리자디렉터리선택후마우스우클릭 ] [ 등록정보 ] [ 디렉터리보안 ] [IP주소및도메인이름제한 ] [ 편집 ] <IIS 관리자 IP 설정 > ➁ 리눅스및유닉스의 아파치 (Apache) 환경설정방법 아파치웹서버의설정파일 httpd.conf Directory 내의 AllowOverride 옵션에서 AutoConfig 또는 All을추가하여관리자 IP만접근가능하도록제한예시 ) 관리자폴더 /usr/local/www/admin 에 만접근할수있도록설정한경우

10 제 2 절디렉터리나열취약점 디렉터리나열취약점유형은웹브라우저에서 URL 입력란에파일명이하를삭제하고바로디렉토리경로로접근을시도하였을경우디렉토리의하위내용이나열되는취약점으로, 공격자는내부에적재된파일정보와구성정보획득을통해웹어플리케이션의구조파악을통한민감정보유출의위험성이존재 < 디렉터리구조노출 > [2-1] 디렉토리목록화패턴발견 디렉터리인덱싱기능이활성화되어있을경우, 비인가자가외부에서웹서버내모든디렉토리및파일에접근이가능하여어플리케이션및서버의중요정보노출로인한추가공격에악용될수있는취약점

11 1) Windows [IIS] 제어판 > 관리도구 > IIS( 인터넷정보서비스 ) 관리자매뉴에서구축사이트 선택 > 화면중앙 IIS 박스의디렉터리검색선택사용안함클릭 <IIS 디렉터리검색기능비활성화 > 2) Apache 아파치 (Apache) 를웹서버로사용하는리눅스및유닉스 OS는아래와같은설정을통해디렉토리리스팅취약점을차단가능 <Directory /var/www/html > // 디렉토리경로 Options Indexes FollowSymLinks // 인덱스활성 Options FollowSymLinks // 인덱스비활성 3) Tomcat 톰캣 (Tomcat) 을웹서버로사용하는리눅스및유닉스 OS는아래와같은설정을통해디렉토리리스팅취약점을차단가능 - web.xml 파일설정예시 <init-param> <param-name>listings</param-name> <param-value>false</param-value> </init-param> 서비스설정후데몬재시작필수

12 [2-2] Microsoft FrontPage 디렉토리목록화 Frontpage 는 MicroSoft office에서기본적으로제공하는웹에디터로, 서버관리기능 (sercer extention) 보안설정이올바르지않을경우, 가상디렉토리및파일에접근이가능하여어플리케이션및서버의중요정보노출로인한추가공격에악용될수있는취약점 - 불필요할경우 Frontpage 서버관리기능 (Extensions) 제거 - C: \Program Files \Common Files \Microsoft Shared \Web server Extension 서브디렉터리에서아래의디렉토리삭제 \isapi \_vit_bin\_vti_adm \_vit_bin\_vti_aut \_vit_bin \admisapi \admincgi [2-3] Microsoft FrontPage _vti_cnf' 정보유출 Frontpage 는 MicroSoft office에서기본적으로제공하는웹에디터로, 서버관리기능 (server-extention) 보안설정이올바르지않을경우, 비인가자가내부디렉터리정보나파일경로등내부정보를가지고있는 _vti_cnf 폴더로접근가능한취약점 <Frontpage 기본경로유출 > - Microsoft Update 서비스를최신버전으로유지하도록권장 - 불필요할경우 Frontpage 서버관리기능 (Extensions) 제거

13 제 3 절디렉터리나열취약점 [3-1] Apache Multivies Attack Apache 에서제공되는 Multiviews 는다중언어지원옵션으로웹브라우저또는웹문서의종류에따라서가장적합한페이지를보여주는기능이며, 공격자가디렉터리에숨겨진파일을찾아중요정보를수집할수있는취약점 - Apache의구성파일에서 Multiviews 옵션기능제거여부확인파일경로 : <apache dir>/htdocs/httpd.conf <Directory "/htdocs"> Options MultiViews // multiviews 비활성화 AllowOverride All Order allow,deny Allow from all </Directory> - Apache 2.2 이후버전 <FilesMatch \.php$> // 파일확장자명 SetHandler application/x-httpd-php <FilesMatch> [3-2] HTTP Strict-Transport-Security 헤더누락 응용애플리케이션에서 HTTP Strict Transport Security(HSTS) 헤더가적용되지않아공격자가 HTTPS 스트리핑공격 (HTTPS 요청을 HTTP 로전환 ) 즉, SSL/TLS 연결을일반 HTTP 연결로변경하여민감한정보가평문형태로탈취될수있는취약점

14 [Windows IIS] - Windows IIS 경로 : C:\inetpub\wwwroot\web.config - 아래의볼드체구문추가 - 배포환경에서설정하기위해서는 web.release.config에아래와같은내용설정 <configuration> <system.webserver> <directorybrowse enabled="true" /> </system.webserver> <httpprotocol> <customheaders> <add name="strict-transport-security" value="max-age= ; includesubdomains" /> </customheaders> </httpprotocol> </configuration> [Apache] - Apache 경로 : /htdocs/httpd.conf - website.conf 및 httpd.conf 설정파일에서아래와같은내용설정 <VirtualHost xxx.xxx.xxx.xxx:443> Header always set Strict-Transport-Security "max-age= ; includesubdomains;" </VirtualHost> // max-age 값은밀리세컨드단위, 해당설정은 2년임. 즉 2년동안해당설정이유효함. [3-3] 캐시화가능한 SSL 페이지발견 로그인시사용자명, Password 등민감한정보들을보호하기위해 SSL을이용하여암호화를수행하는데, 사용중인브라우저에서민감한정보를캐싱하여발생하는취약점

15 민감한데이터가있는모든페이지에서캐싱기능을사용하지않도록설정 [ 시큐어코딩 ] response.setheader("cache-control", "no-cache"); response.setheader("pragma", "no-store, no-cache, must-revalidate"); [WINDOWS] SSL 세션정보의캐시유지시간값수정예시 ) ClientCacheTime 설정방법십진수데이터값선택 -> 밀리세컨드단위 (60000 = 1분 ) -> 비활성화는 0값처리 < 세션유지시간값수정 > [3-4] 세션쿠키에서 HttpOnly 속성누락 HttpOnly 는악의적인자바스크립트의접근을차단하기위한기능으로 HttpOnly 속성이누락될경우 XSS(Cross Site Scripting) 와같은공격자의변조된자바스크립트요청값에대한응답을통해세션하이재킹이발생할수있는위험이존재

16 스크립트가세션쿠키에접근하는것을보호하기위한 "HttpOnly" 속성설정 [ASP.NET] 파일경로 : systemroot\microsoft.net\framework\versionnumber\config\web.config Response.Cookies.Add(new { } 또는 Value = 쿠키값, Secure HttpCookie = true mycookie.httponly = true; HttpCookie( mycookie ) mycookie = new HttpCookie("myCookie"); Response.AppendCookie(myCookie); Web.config <httpcookies requiressl= true /> 2.0 환경에서는 httponly 가기본으로설정됨 [PHP] 파일경로 : /usr/local/lib/php.ini Session.cookie_httponly [TOMCAT] = True; 파일경로 : /webapps/app/meta-inf/context.xml context.xml <?xml version= 1.0 encoding= UTF-8?> <Context path= / 어플리케이션경로 usehttponly= true > Servlet 3.0 이후 web.xml설정 <session-config> <cookie-config> <http-only>true</http-only> </cookie-config> </session-config> [3-5] 암호화된세션 (SSL) 쿠키의누락된보안속성 암호화된 HTTPS 구간에서개인정보를쿠키로저장할때쿠키객체의보호를위한보안속성을적용하지않을경우공격자에게단순한평문형태로노출되는취약점

17 HTTPS 로만서비스하는경우 Cookie 객체의 setsecure(true) 메소드를호출 하여브라우저쿠키에데이터를저장하도록설정 [ 안전한코드예제 ] 1: 2: private final String ACCOUNT_ID = "account"; 3: 4: public void setupcookies(servletrequest r, HttpServletResponse response) { 5: String acctid = r.getparameter("accountid"); 6: // 계정유효성점검 7: if (acctid == null "".equals(acctid)) return; 8: String filtered_id = acctid.replaceall("\r", ""); 9: 10: Cookie c = new Cookie(ACCOUNT_ID, filtered_id); 11: // 민감한정보를가진쿠키를전송할때에는보안속성을설정하여야한다. 12: c.setsecure(true); 13: response.addcookie(c); 14: } [3-6] HTTP.sys 원격코드실행 HTTP 프로토콜스택 (HTTP.sys) 이특수하게조작된 HTTP 요청의구문을검증하지못하는취약점으로 IIS 서버로 http header 의 range 필드를특수하게조작한패킷을전송할경우블루스크린유발및공격자가원하는원격코드의실행이가능함 [ 취약한 OS 버전사용시보안패치수행 ] Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Server Core 설치옵션 Windows 7(32비트시스템용 ) 서비스팩 1 Windows 7(x64 기반시스템용 ) 서비스팩 1 Windows Server 2008 R2(x64 기반시스템용 ) 서비스팩 1 Windows Server 2008 R2(Itanium 기반시스템용 ) 서비스팩 1 Windows 8 Windows 8.1 Windows Server 2012 Windows Server 2012 R2 Windows Server 2008 R2 (x64 기반시스템용 ) 서비스팩 1 (Server Core 설치 ) Windows Server 2012(Server Core 설치 )

18 [ 안전한코드예제 ] #include <sys/socket.h> #include <sys/types.h> #include <netinet/in.h> #include <netdb.h> #include <stdio.h> #include <string.h> #include <stdlib.h> #include <unistd.h> #include <errno.h> #include <arpa/inet.h> int connect_to_server(char *ip) { int sockfd = 0, n = 0; struct sockaddr_in serv_addr; struct hostent *server; if((sockfd = socket(af_inet, SOCK_STREAM, 0)) < 0) { printf(" \n Error : Could not create socket \n"); return 1; } memset(&serv_addr, '0', sizeof(serv_addr)); serv_addr.sin_family = AF_INET; serv_addr.sin_port = htons(80); if(inet_pton(af_inet, ip, &serv_addr.sin_addr)<=0) { printf(" \n inet_pton error occured\n"); return 1; } if( connect(sockfd, (struct sockaddr *)&serv_addr, sizeof(serv_addr)) < 0) { printf(" \n Error : Connect Failed \n"); return 1; } return sockfd; } int main(int argc, char *argv[]) { int n = 0; int sockfd; char recvbuff[1024]; // Check server char request[] = "GET / HTTP/1.0 \r \n \r \n"; // our evil buffer char request1[] = "GET / HTTP/1.1 \r \nhost: stuff \r \nrange: bytes= \r \n \r \n"; } if(argc!= 2) { printf(" \n Usage: %s <ip of server> \n",argv[0]); return 1; } printf("[*] Audit Started \n"); sockfd = connect_to_server(argv[1]); write(sockfd, request, strlen(request)); read(sockfd, recvbuff, sizeof(recvbuff)-1); if (!strstr(recvbuff,"microsoft")) { printf("[*] NOT IIS \n"); exit(1); } sockfd = connect_to_server(argv[1]); write(sockfd, request1, strlen(request1)); read(sockfd, recvbuff, sizeof(recvbuff)-1); if (strstr(recvbuff,"requested Range Not Satisfiable")) { // 해당취약점에취약할경우 "Looks VULN" 화면이보임 printf("[!!] Looks VULN \n"); exit(1); } else if(strstr(recvbuff,"the request has an invalid header name")) { // 해당취약점에취약하지않을경우 "Looks Patched" 화면출력 printf("[*] Looks Patched"); } else // IIS 서버인지확인필요 printf("[*] Unexpected response, cannot discern patch status");

19 [3-7] 영구적쿠키에중요세션정보포함 영구적보관이되는쿠키는파일형태로디스크에저장되는데, 취약한시스템은쿠키파일경로가노출되어디스크에저장된사용자의쿠키정보가탈취될위험성이있으며, 이를통해권한상승및주요정보탈취가가능함 사용자인증정보와세션토큰과같은중요한세션정보가유지되지않도록 "non-permanent" 쿠키로저장 ( 설정을위해서는쿠키의 "Expires" 필드를설정하지않아야함 ) [JAVA] [3-8] Microsoft FrontPage Extensions사이트손상 Frontpage Extention 은 MicroSoft office 에서제공하는웹에디터인 Frontpage 의관리기능을제공하며모든사용자가접근이가능하도록초기설정되어있는데공격자는이를통해웹페이지에접근하여악의적인웹서버권한탈취및위 변조가가능한취약점 취약한파일접근권한설정 (AUATHOR.DLL, ADMIN.DLL) IIS 관리콘솔 -> 웹사이트의 _VTI_BIN 디렉토리 -> 하위파일선택 (_VTI_AUTH/AUATHOR.DLL, _VTI_ADMIN/ADMIN.DLL) -> 파일의등록정보 -> 보안탭선택 -> 익명액세스체크해제 <FrontPage 접근권한설정 >

20 제 4 절 WebDAV 취약점 [4-1] WebDAV 취약점 원격지에서웹서버상의컨텐츠를조작할수있는기능을제공하는 WebDAV 라이브러리파일의속성에읽기 / 쓰기권한이모두허용되어공격자가원격에서임의조작을통한웹페이지위변조가가능한취약점 [IIS 를사용하지않을경우 ] 서비스상태를 중지, 시작유형을 사용안함 설정 IIS 경로 : [ 제어판 ]-[ 컴퓨터관리 ]-[ 서비스 ]-[World Wide Web Publishing Service] <IIS 비활성화설정 > [WebDAV 기능이필요하지않을경우-1] 경로 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameter 설정방법 : DisableWebDAV 의 DWORD 값을만들어 '1' 로설정후 IIS를재시작 <WebDAV 실행서비스비활성화설정 >

21 [WebDAV 기능이필요하지않을경우 -2] 경로 : [ 제어판 ]-[ 관리도구 ]-[IIS 관리자 ]-[WebDAV 제작규칙 ]- WebDAV 사용안함 설정 <WebDAV 비활성화설정 > [WebDAV 기능을사용할경우 ] 경로 : [ 제어판 ]-[ 관리도구 ]-[IIS 관리자 ]-[WebDAV 제작규칙 ]-[WebDAV 설정 ] 방법 : <WebDAV 주요설정 > 표를참고하여권한설정적용 항목 설명 SSL 액세스필요 SSL 인증서필수사용여부 숨겨진파일나열허용 숨겨진파일공개여부 무제한수준의속성쿼리허용 지정된경로외에다른경로로의접근허용 익명속성쿼리허용 익명사용자접속을허용 쓰기잠금필요 파일쓰기 ( 업로드 ) 제한 알수없는 MIME 형식허용 알수없는확장자형식허용 <WebDAV 설정관련주요변수 >

22 제 5 절불필요한 Method 허용취약점 [5-1] TRACE 및 TRACK HTTP 메소드사용 TRACE 메소드요청시서버에서요청받은메시지를사용자에게그대로반환하는특성을악용하여공격자가악성스크립트를통한사용자의쿠키및중요정보를탈취할수있는취약점 1) CONNECT, PUT, DELETE, TRACE 메서드비활성화 [IIS] 윈도우IIS 관리창의서비스확장에있는WebDAV 허용을비활성으로변경 IIS Lockdown 툴사용ㄱ. IIS Lockdown Tool 설치ㄴ. Lockdown Tool에포함된 URLScan 설치 (URLScan은HTTP 요청을블로킹처리함으로 IIS 서버를보호 ) ㄷ. %windows directory%\system32\inetsrv\urlscan 경로이동ㄹ. 해당경로의 urlscan.ini 파일을아래와같이설정 [options] UseAllowVerbs=1 [AllowVerbs] GET HEAD POST 또는 [options] UseAllowVerbs=0 [AllowVerbs] TRACE TRACK CONNECT DELETE

23 [APACHE] Httpd.conf 그리고 httpd-ssl.conf 아래와같이설정 <Directory /> // 도메인경로 <LimitExcept GET POST> // 허용하는메서드 Order allow,deny deny from all </LimitExcept> </Directory> //get, post이외의메서드는모두비활성화 [TOMCAT] Web.xml 아래와같이설정 <security-constraint> <web-resource-collection> <web-resource-name></web-resource-name> <url-pattern>/*</url-pattern> <http-method>head</http-method> <http-method>delete</http-method> <http-method>put</http-method> <http-method>options</http-method> </web-resource-collection> </security-constraint> 2) 크로스사이트스크립트에준하는시큐어코딩 - 사용자입력 UI 에서스크립트입력거부및방지, 필터링 [5-2] 안전하지않은 HTTP 메소드사용 웹어플리케이션에서일반적으로사용하는 GET, POST 메소드이외의불필요한메소드를허용하였을경우공격자는이를이용하여파일삭제, 파일업로드등웹서버를인증없이조작이가능 GET 및 POST 를제외한메서드비활성화조치

24 제 6 절취약한파일존재취약점 [6-1] 파일대체버전, 애플리케이션테스트스크립트, 압축된디렉터리발견 웹서버구성시기본설치파일, 테스트용파일등웹서버운영에사용되지않은불필요한파일들이외부로노출되어해당파일을통해공격자가내부구성정보수집, 테스트용파일조작등 2차공격에악용될수있는취약점 1) 설치시자동배포되는샘플파일삭제 - 사용하지않는파일및테스트용도디렉토리 / 파일삭제후배포 ( 예 : ASP, JSP, PHP, JAVA, PERL, txt, html,js,zip,.war, tar 등 ) - 소스코드내사용하지않는코드삭제 ( 예 : 테스트 / 디버깅용도 main 함수 ) 2) 파일대체버전발견조치방안 - 가상웹서버루트아래에존재하는파일의대체버전조회후삭제 - 가상루트아래에는항상사용중인파일만있음을확인 3) 애플리케이션테스트스크립트발견조치방안 - 서버에서 test/temporary 스크립트를삭제 - 서버오퍼레이션에필수적인또다른스크립트가서버에존재하는지확인 4) 압축된디렉토리발견 - 압축된디렉토리파일에대한액세스제한또는제거 [6-2] CMME 정보유출 CMME(Content Management Made Easy) 는 PHP기반웹서버의관리편의를위해사용하는웹컨텐츠관리시스템으로웹서버의구성정보에관한중요정보를포함하고있으며접근권한이미흡할경우공격자는이에접근하여서버에대한내부정보를수집할수있는취약점

25 설정파일 ("data/admin/users", "info.php") 에대하여통해신뢰된사용자 액세스가가능하도록정책설정 [6-3] URL 경로재지정을통한피싱 공격자가 HTTP 매개변수조작을통해악의적인사이트로리다이렉션하여사용자를피싱사이트로접속하도록유인하는취약점으로사용자명, Password, 신용카드번호, 주민등록번호등민감한정보의탈취가가능한위험성이존재함 허용가능한 URL과도메인들의화이트리스트를설정하여악의적인사이트접근차단 [ 안전한코드예제 ] 1: 2: protected void doget(httpservletrequest request, HttpServletResponse response) 3: throws ServletException, IOException { 4: String query = request.getquerystring(); 5: 6: // 다른페이지이동하는 URL 리스트를만든다. 7: String allowurl[] = { "url1", "url2", "url3" }; 8: ArrayList arr = new ArrayList(); 9: for ( int i = 0; i < allowurl.length; i++ ) 10: arr.add(allowurl[i]); 11: 12: if (query.contains("url")) { 13: String url = request.getparameter("url"); 14: // url에대한유효성점검을한다. 만약 가있으면다른도메인으로 URL을 redirect로의심된다. 15: if (url!= null && url.indexof(" -1 ) { 16: url = url.replaceall("\r", "").replaceall("\n", ""); 17: // URL 목록에있지않으면요청을거부한다. 18: if (!arr.contains(url) ) throw new MyException(" 에러 ); 19: response.sendredirect(url); 20: } 21: } 22:

26 [6-4] PHP phpinfo.php 정보유출 서버의환경설정에대한많은정보를포함하고있는 phpinfo.php 페이지가공격자에게노출되어예제및샘플페이지, 설치정보등웹서버의구성정보를열람가능한취약점으로 2차공격수행에필요한정보가노출되는위험성존재 <PHP 구성정보노출 > 1) phpinfo.php 페이지삭제 rm /var/www/html/phpinfo.php ( 예시 ) 2) phpinfo() 비활성화 PHP 경로 : /usr/local/apache/conf/php.ini disable_functions = phpinfo()

27 [6-5] 임시파일및아카이브파일다운로드 URI에노출되는상대경로조작을통해임시파일에대한다운로드나열람이가능한취약점으로시스템구성시자동으로생성되는기본설치경로및임시파일이외부비인가자에게노출될경우공격자가경로를유추하여내부핵심정보를획득할수있는취약점 - 임시파일삭제또는웹시스템의가상디렉토리외부로이동 - 다운로드를허용할디렉토리를지정하여해당디렉토리를벗어나는위치의다운 로드요청에대해서는경고메시지와함께다운로드를금지하도록함

28 제 7 절계정관리취약점 [7-1] 올바르지않은계정잠금 취약한계정정책또는로그인실패에대한상세한오류메시지는공격자에게유용한정보를제공하며별도의인증수단이없을경우무차별대입공격이나사전대입공격에노출되어관리자권한을획득가능 1) 계정잠금정책설정 [WINDOWS] 경로 : [ 시작 ]-[ 설정 ]-[ 제어판 ]-[ 관리도구 ]-[ 로컬보안설정 ]-[ 계정정책 ]-[ 계정잠금정책 ] 계정잠금기간 : 계정잠금임계값에도달했을경우계정잠금상태를유지할기간 계정잠금임계값 : 사전공격방지를위하여지정횟수이상로그인실패시계정잠금 기간동안계정사용불가 < 계정잠금정책설정 > [CenOS 5] 경로 : \etc\pam.d\password-auth no_magic_root : root는패스워드잠금설정제외 deny=5 : 5회입력실패시패스워드잠금 unlock_time : 계정잠김후잠금해제되는시간 ( 초 ) reset : 접속시도성공시실패한횟수초기화

29 2) 오류메시지노출설정 [IIS] 경로 : [ 시작 ]-[ 설정 ]-[ 제어판 ]-[ 관리도구 ]-[ 인터넷서비스관리자 ]-[ 등록정보 ]-[ 사용자정의 ] 오류등록정보편집을통해사용자정의에러페이지를지정 계정잠금기간 : 계정잠금임계값에도달했을경우계정잠금상태를유지할기간 계정잠금임계값 : 사전공격방지를위하여지정횟수이상로그인실패시계정잠금 기간동안계정사용불가 [Apache] 경로 : /etc/httpd/conf/httpd.conf 유효하지않은요청은별도로만든사용자정의에러페이지로 Redirect 설정 <httpd.conf> ErrorDocument 404/error_page.html ServerSignature off //Error 페이지등에서노출되는웹서버버전정보를나타내지 않도록설정 [Tomcat] 경로 : <Tomcat home directory>\conf\web.xml 에러코드에따른포워딩페이지설정 <web.xml> 404 /error_page/404.jsp

30 제 4 장 결론 최근들어인터넷기술이고도화되면서, 정보개방의필요성이급증하고있다. 이에공공정보들이외부로오픈된인터넷을통해정보유통을통한소통의장으로활용되어사용자들은언제어디서나원하는정보를편리하게확인할수있는환경이제공되고있다. 하지만누구에게나접근이가능한인터넷의구조적인취약점은상당히많은위험성을가지고있으며, 실제웹어플리케이션을활용한침해사고가매년지속적으로증가하고있는추세이다. 특히애플리케이션계층은네트워크계층이나시스템계층에비해기술적으로고도화되어있고애플리케이션의종류도다양하기때문에대부분의보안관리자들이보안정책을수립하고적용함에있어가장많은어려움을겪는실정이다. 또한대부분의운영자들이홈페이지구축시사용자의편의성에만주안점을두는경향이있어보안대책에크게관심을갖지않는것도웹어플리케이션분야의침해사고발생증가의원인이되고있는것이다. 현재이루어지고있는웹공격의 90% 이상이웹애플리케이션을노린공격이라고해도과언이아니다. 결국안전한웹보안을구축하고자한다면홈페이지구축단계에서의철저한보안코딩을비롯하여근본적인취약점을최소화가필요하며, 지속적인취약점점검및보안조치수행을통해보다안전한웹어플리케이션환경을마련하여야할것이다.

31 참고자료 [1] Secure coding, [2] JAVA, [3] MS, [4] MS, [5] REDHAT, [5] APACHE,

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments

More information

게시판 스팸 실시간 차단 시스템

게시판 스팸 실시간 차단 시스템 오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP

More information

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Network Programming Jo, Heeseung Network 실습 네트워크프로그래밍 멀리떨어져있는호스트들이서로데이터를주고받을수있도록프로그램을구현하는것 파일과는달리데이터를주고받을대상이멀리떨어져있기때문에소프트웨어차원에서호스트들간에연결을해주는장치가필요 이러한기능을해주는장치로소켓이라는인터페이스를많이사용 소켓프로그래밍이란용어와네트워크프로그래밍이랑용어가같은의미로사용

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.

More information

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환 취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple

More information

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher( 실행할페이지.jsp); 다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770> 개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000

More information

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름 EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection

More information

untitled

untitled 웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

Microsoft PowerPoint - [Practice #1] APM InstalI.ppt

Microsoft PowerPoint - [Practice #1] APM InstalI.ppt Practice #1 APM Install 2005. 8. 31 Lee Seung-Bok http://hpclab.uos.ac.kr Contents 2 APM 소개 Apache 설치 PHP 설치 MySQL 설치기타사항 Q & A APM(Apache,, PHP, MySQL) 소개 3 Apache PHP 현재전세계에서가장보편적으로사용되고있는오픈소스웹서버안정성및우수한기능

More information

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the

More information

BEA_WebLogic.hwp

BEA_WebLogic.hwp BEA WebLogic Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 BEA WebLogic Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port

More information

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 (https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)

More information

로거 자료실

로거 자료실 redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...

More information

<4D F736F F F696E74202D20B8AEB4AABDBA20BFC0B7F920C3B3B8AEC7CFB1E22E BC8A3C8AF20B8F0B5E55D>

<4D F736F F F696E74202D20B8AEB4AABDBA20BFC0B7F920C3B3B8AEC7CFB1E22E BC8A3C8AF20B8F0B5E55D> 리눅스 오류처리하기 2007. 11. 28 안효창 라이브러리함수의오류번호얻기 errno 변수기능오류번호를저장한다. 기본형 extern int errno; 헤더파일 라이브러리함수호출에실패했을때함수예 정수값을반환하는함수 -1 반환 open 함수 포인터를반환하는함수 NULL 반환 fopen 함수 2 유닉스 / 리눅스 라이브러리함수의오류번호얻기 19-1

More information

1. efolder 시스템구성 A. DB B. apache - mod-perl - PHP C. SphinxSearch ( 검색서비스 ) D. File Storage 2. efolder 설치순서 A. DB (MySQL) B. efolder Service - efolder

1. efolder 시스템구성 A. DB B. apache - mod-perl - PHP C. SphinxSearch ( 검색서비스 ) D. File Storage 2. efolder 설치순서 A. DB (MySQL) B. efolder Service - efolder Embian efolder 설치가이드 efolder 시스템구성 efolder 설치순서 Installation commands 1. efolder 시스템구성 A. DB B. apache - mod-perl - PHP C. SphinxSearch ( 검색서비스 ) D. File Storage 2. efolder 설치순서 A. DB (MySQL) B. efolder

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)

More information

vi 사용법

vi 사용법 네트워크프로그래밍 6 장과제샘플코드 - 1:1 채팅 (udp 버전 ) 과제 서버에서먼저 bind 하고그포트를다른사람에게알려줄것 클라이언트에서알려준포트로접속 서로간에키보드입력을받아상대방에게메시지전송 2 Makefile 1 SRC_DIR =../../common 2 COM_OBJS = $(SRC_DIR)/addressUtility.o $(SRC_DIR)/dieWithMessage.o

More information

untitled

untitled 보안서버구축가이드 8 Ⅲ. SSL 방식보안서버구축하기 1. 소개및보안서버구축절차 가. 개요 SSL은 Secure Sockets Layer의머리글이며, 1994년 Netscape에의해전세계적인표준보안기술이개발되었습니다. SSL 방식은웹브라우저와서버간의통신에서정보를암호화함으로써도중에해킹을통해정보가유출되더라도정보의내용을보호할수있는기능을갖춘보안솔루션으로전세계적으로수백만개의웹사이트에서사용하고있습니다.

More information

SSL인증서 설치 매뉴얼 (Apache)

SSL인증서 설치 매뉴얼 (Apache) SSL 인증서설치매뉴얼 (Apache) 백업된인증서설치 본문서에안내된버전이외의다른버전을사용하시는경우안내내용과차이가있을수있습니다. 본문서는기본적인참고용자료이며, 구성환경에따라안내내용과차이가있을수있습니다. 본문서는서버담당자를기준으로작성되었습니다. 웹서버인증서를설치할서버담당자에게전달하여주시기바랍니다. ** 인증서설치전확인사항 ** 인증서설치시 SSL 관련설정은기존

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Web server porting 2 Jo, Heeseung Web 을이용한 LED 제어 Web 을이용한 LED 제어프로그램 web 에서데이터를전송받아타겟보드의 LED 를조작하는프로그램을작성하기위해다음과같은소스파일을생성 2 Web 을이용한 LED 제어 LED 제어프로그램작성 8bitled.html 파일을작성 root@ubuntu:/working/web# vi

More information

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc 분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.

More information

2009년 상반기 사업계획

2009년 상반기 사업계획 소켓프로그래밍활용 IT CookBook, 유닉스시스템프로그래밍 학습목표 소켓인터페이스를활용한다양한프로그램을작성할수있다. 2/23 목차 TCP 기반프로그래밍 반복서버 동시동작서버 동시동작서버-exec함수사용하기 동시동작서버-명령행인자로소켓기술자전달하기 UDP 프로그래밍 3/23 TCP 기반프로그래밍 반복서버 데몬프로세스가직접모든클라이언트의요청을차례로처리 동시동작서버

More information

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아 LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml

More information

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

4S 1차년도 평가 발표자료

4S 1차년도 평가 발표자료 모바일 S/W 프로그래밍 안드로이드개발환경설치 2012.09.05. 오병우 모바일공학과 JDK (Java Development Kit) SE (Standard Edition) 설치순서 Eclipse ADT (Android Development Tool) Plug-in Android SDK (Software Development Kit) SDK Components

More information

혼자서일을다하는 JSP. 이젠일을 Servlet 과나눠서한다. JSP와서블릿의표현적인차이 - JSP는 <html> 내에서자바를사용할수있는수단을제공한다. - 서블릿은자바내에서 <html> 을작성할수있는수단을제공한다. - JSP나서블릿으로만웹페이지를작성하면자바와다양한코드가

혼자서일을다하는 JSP. 이젠일을 Servlet 과나눠서한다. JSP와서블릿의표현적인차이 - JSP는 <html> 내에서자바를사용할수있는수단을제공한다. - 서블릿은자바내에서 <html> 을작성할수있는수단을제공한다. - JSP나서블릿으로만웹페이지를작성하면자바와다양한코드가 혼자서일을다하는 JSP. 이젠일을 Servlet 과나눠서한다. JSP와서블릿의표현적인차이 - JSP는 내에서자바를사용할수있는수단을제공한다. - 서블릿은자바내에서 을작성할수있는수단을제공한다. - JSP나서블릿으로만웹페이지를작성하면자바와다양한코드가웹페이지내에뒤섞여있어서웹페이지의화면설계가점점어려워진다. - 서블릿이먼저등장하였으나, 자바내에

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

2장 변수와 프로시저 작성하기

2장  변수와 프로시저 작성하기 Chapter. RequestDispatcher 활용 요청재지정이란? RequestDispatcher 활용 요청재지정구현예제 Chapter.9 : RequestDispatcher 활용 1. 요청재지정이란? 클라이언트로부터요청받은 Servlet 프로그램이응답을하지않고다른자원에수행흐름을넘겨다른자원의처리결과를대신응답하는것또는다른자원의수행결과를포함하여응답하는것을요청재지정이라고한다.

More information

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 얇지만얇지않은 TCP/IP 소켓프로그래밍 C 2 판 4 장 UDP 소켓 제 4 장 UDP 소켓 4.1 UDP 클라이언트 4.2 UDP 서버 4.3 UDP 소켓을이용한데이터송싞및수싞 4.4 UDP 소켓의연결 UDP 소켓의특징 UDP 소켓의특성 싞뢰할수없는데이터젂송방식 목적지에정확하게젂송된다는보장이없음. 별도의처리필요 비연결지향적, 순서바뀌는것이가능 흐름제어 (flow

More information

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770>

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770> 기술문서 08. 10. 25. 작성 PHP 기반웹쉘의동작원리와공개웹쉘의기능분석및대응방안 작성자 : 동명대학교 THINK 정정홍 (zeratul621@naver.com) 1. 시작하면서 p. 2 2. 웹쉘의동작원리 p. 3 3. r57shell p. 5 4. kcwebtelnet p. 9 5. phpremoteview p. 10 6. 웹쉘대응방안 p. 12 동명대학교정보보호동아리

More information

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2. 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2. 3Rabbitz Book 애플리케이션파일다운로드하여압축파일을풀고복사합니다. 3. 3Rabbitz Book 실행합니다.

More information

ApacheWebServer.hwp

ApacheWebServer.hwp Apache Web Server SSL 설정방법 - Ver 1.0-2008. 5 개정이력 버전개정일개정내용 Ver 1.0 2008 년 5 월 Apache Web Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. Apache 서버에 OpenSSL

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 1 목포해양대해양컴퓨터공학과 UDP 소켓 네트워크프로그램설계 4 장 2 목포해양대해양컴퓨터공학과 목차 제 4장 UDP 소켓 4.1 UDP 클라이언트 4.2 UDP 서버 4.3 UDP 소켓을이용한데이터송신및수신 4.4 UDP 소켓의연결 3 목포해양대해양컴퓨터공학과 UDP 소켓의특징 UDP 소켓의특성 신뢰할수없는데이터전송방식 목적지에정확하게전송된다는보장이없음.

More information

Microsoft PowerPoint - Lecture_Note_5.ppt [Compatibility Mode]

Microsoft PowerPoint - Lecture_Note_5.ppt [Compatibility Mode] TCP Server/Client Department of Computer Engineering Kyung Hee University. Choong Seon Hong 1 TCP Server Program Procedure TCP Server socket() bind() 소켓생성 소켓번호와소켓주소의결합 listen() accept() read() 서비스처리, write()

More information

Microsoft Word FCKeditor.doc

Microsoft Word FCKeditor.doc FCKeditor 취약점분석 머리말 본문서에서는 FCKeditor 의취약점에대해설명하고해당취약점에대한대응책을소개하는자료입니 다. 본문서는웹해킹에대한일반적인지식이있는보안전문가를대상으로작성되었습니다. 따라서, 웹 해킹에대한기본적인기술에대해서는별도로설명하지않습니다. 등록상표 PIOLINK 는 파이오링크의등록상표입니다. 일러두기 본사용설명서의저작권은 파이오링크에있습니다.

More information

<43B7CE20BECBBEC6BAB8B4C220BCD2C4CFC7C1B7CEB1D7B7A1B9D62E687770>

<43B7CE20BECBBEC6BAB8B4C220BCD2C4CFC7C1B7CEB1D7B7A1B9D62E687770> C 로알아보는 소켓프로그래밍 이현환 (NOON) haonun@gmail.com http://noon.tistory.com Hacking Study Grup E.Y.E -------------------------------------------------------------------- 목차 --------------------------------------------------------------------

More information

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 2012.11.23 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Document Distribution Copy Number Name(Role, Title) Date

More information

Microsoft PowerPoint - 07-EDU-Apache-9-1.ppt

Microsoft PowerPoint - 07-EDU-Apache-9-1.ppt 1 아파치, HTTP, APM 소개 APM 설치하기 순천향대학교컴퓨터학부이상정 1 아파치, HTTP, APM 소개 순천향대학교컴퓨터학부이상정 2 소개 정식명칭 : Apache HTTP server 관련홈페이지 : www.apache.org GNU GPL 라이센스를통해무료로배포되는소프트웨어 현재 50% 이상의웹서버소프트웨어시장점유율 안정적으로동작 www.amazon.com이나

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

server name>/arcgis/rest/services  server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지 ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,

More information

AhnLab_template

AhnLab_template 해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web

More information

chapter1,2.doc

chapter1,2.doc JavaServer Pages Version 08-alpha copyright2001 B l u e N o t e all rights reserved http://jspboolpaecom vesion08-alpha, UML (?) part1part2 Part1 part2 part1 JSP Chapter2 ( ) Part 1 chapter 1 JavaServer

More information

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드] Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google

More information

제목 레이아웃

제목 레이아웃 웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya

More information

4. CSR 값확인. (vi csr.pem) CSR(Certificate Signing Request) 즉, 인증서서명요청입니다. 이는자신이설치할웹서버에서 DN 값, 각종정보를암호화한파일로써 한국전자인증 신청란에서붙여넣으면됩니다. 인증서설치 1. 직접 CSR 및 KEY

4. CSR 값확인. (vi csr.pem) CSR(Certificate Signing Request) 즉, 인증서서명요청입니다. 이는자신이설치할웹서버에서 DN 값, 각종정보를암호화한파일로써 한국전자인증 신청란에서붙여넣으면됩니다. 인증서설치 1. 직접 CSR 및 KEY 키생성및 CSR 생성 키생성을위해 OpenSSL 설치디렉토리에서아래명령대로생성 1. 랜덤넘버생성 $ openssl md5 * > rand.dat 2. 키쌍생성 openssl genrsa -rand rand.cat -des3 1024 > key.pem 3. 생성된키쌍을이용하여 CSR 생성 openssl req -new -key key.pem > csr.pem

More information

<4D F736F F F696E74202D C0A5BCADB9F620BAB8BEC8BCB3C1A420B0A1C0CCB5E52E707074>

<4D F736F F F696E74202D C0A5BCADB9F620BAB8BEC8BCB3C1A420B0A1C0CCB5E52E707074> Apache 웹서버보안문제 웹서버 / 클라이언트 / 애플리케이션자체의버그 웹서버 / 클라이언트 / 애플리케이션설정의오류 침입차단시스템의웹서비스오픈 SANS TOP20 Vulnerabilities Top Vulnerabilities to Windows Systems Top Vulnerabilities to UNIX Systems W1. Web Servers &

More information

리눅스 취약점대응방안권고 / KISA 취약점점검팀 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE 지정, 도메인네임을

리눅스 취약점대응방안권고 / KISA 취약점점검팀 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE 지정, 도메인네임을 리눅스 취약점대응방안권고 15. 01. 29 / KISA 취약점점검팀 15. 01. 30 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE-2015-0235 지정, 도메인네임을 IP로변환하는기능이포함된서비스 ( 메일, 웹등 ) 들은해당취약점에영향을받을수있음 취약점상세분석

More information

Microsoft PowerPoint - aj-lecture1.ppt [호환 모드]

Microsoft PowerPoint - aj-lecture1.ppt [호환 모드] 인터넷과웹서비스 개발환경구성, JSP 기본구조 인터넷과 WWW(World Wide Web) 인터넷은 TCP/IP 기반의네트워크가전세계적으로확대되어하나로연결된 네트워크의네트워크 WWW(World Wide Web) 는인터넷기반의서비스중하나 이름프로토콜포트기능 WWW http 80 웹서비스 524730-1 2019 년봄학기 3/11/2019 박경신 Email SMTP/POP3/IMAP

More information

Microsoft PowerPoint - 10Àå.ppt

Microsoft PowerPoint - 10Àå.ppt 10 장. DB 서버구축및운영 DBMS 의개념과용어를익힌다. 간단한 SQL 문법을학습한다. MySQL 서버를설치 / 운영한다. 관련용어 데이터 : 자료 테이블 : 데이터를표형식으로표현 레코드 : 테이블의행 필드또는컬럼 : 테이블의열 필드명 : 각필드의이름 데이터타입 : 각필드에입력할값의형식 학번이름주소연락처 관련용어 DB : 테이블의집합 DBMS : DB 들을관리하는소프트웨어

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 인터넷프로토콜 03 장 도메인네임시스템과주소 패밀리 (IPv4-IPv6 서비스 ) 1 목차 제 3 장도메인네임시스템과주소패밀리 3.1 도메인네임주소를숫자주소로매핑하기 3.2 IP 버전에무관한주소-범용코드의작성 3.3 숫자주소에서도메인네임주소획득하기 2 getaddrinfo() 를활용한주소 범용 (Generic) 코드 주소범용 (Generic) 코드란? 주소버전

More information

Microsoft Word - Windows_apahce_php_CUBRID2008

Microsoft Word - Windows_apahce_php_CUBRID2008 Windows 에서 Apache, PHP 를이용하여 CUBRID 사용하기 소개 : Windows 환경에서 Apache 웹서버와 PHP 를이용하여 CUBRID 를사용하기위하여 PHP CUBRID module 를 설치하는방법및간단한 CUBRID 연동방법을소개한다. 연동에대한상세한방법은매뉴얼상의 PHP API 부분을 참고하기바란다 2008-10-20 기술컨설팅팀남재우,

More information

/chroot/lib/ /chroot/etc/

/chroot/lib/ /chroot/etc/ 구축 환경 VirtualBox - Fedora 15 (kernel : 2.6.40.4-5.fc15.i686.PAE) 작동 원리 chroot유저 ssh 접속 -> 접속유저의 홈디렉토리 밑.ssh의 rc 파일 실행 -> daemonstart실행 -> daemon 작동 -> 접속 유저만의 Jail 디렉토리 생성 -> 접속 유저의.bashrc 의 chroot 명령어

More information

Microsoft PowerPoint - CSharp-10-예외처리

Microsoft PowerPoint - CSharp-10-예외처리 10 장. 예외처리 예외처리개념 예외처리구문 사용자정의예외클래스와예외전파 순천향대학교컴퓨터학부이상정 1 예외처리개념 순천향대학교컴퓨터학부이상정 2 예외처리 오류 컴파일타임오류 (Compile-Time Error) 구문오류이기때문에컴파일러의구문오류메시지에의해쉽게교정 런타임오류 (Run-Time Error) 디버깅의절차를거치지않으면잡기어려운심각한오류 시스템에심각한문제를줄수도있다.

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 HTML5 웹프로그래밍입문 부록. 웹서버구축하기 1 목차 A.1 웹서버시스템 A.2 PHP 사용하기 A.3 데이터베이스연결하기 2 A.1 웹서버시스템 3 웹서버의구축 웹서버컴퓨터구축 웹서버소프트웨어설치및실행 아파치 (Apache) 웹서버가대표적 서버실행프로그램 HTML5 폼을전달받아처리 PHP, JSP, Python 등 데이터베이스시스템 서버측에데이터를저장및효율적관리

More information

슬라이드 1

슬라이드 1 NeoDeveloper 설치가이드 차례 1. 환경 3 2. 설치 3 2.1 웹서버설치 3 Tomcat 7 3 JDK 1.6 3 2.2 NeoDeveloper 설치 3 Neo Developer 서버구성 3 Demo용 User Application 구성 4 Neo Developer 서버 Data File 4 Client 개발 Tool 설치 4 3. 설정 5 3.1

More information

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F31C2F7BDC32E >

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F31C2F7BDC32E > Chapter 8 데이터베이스응용개발 목차 사용자인터페이스와도구들 웹인터페이스와데이터베이스 웹기초 Servlet 과 JSP 대규모웹응용개발 ASP.Net 8 장. 데이터베이스응용개발 (Page 1) 1. 사용자인터페이스와도구들 대부분의데이터베이스사용자들은 SQL을사용하지않음 응용프로그램 : 사용자와데이터베이스를연결 데이터베이스응용의구조 Front-end Middle

More information

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint - chap01-C언어개요.pptx #include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을

More information

2009년 상반기 사업계획

2009년 상반기 사업계획 웹 (WWW) 쉽게배우는데이터통신과컴퓨터네트워크 학습목표 웹서비스를위한클라이언트 - 서버구조를살펴본다. 웹서비스를지원하는 APM(Apache, PHP, MySQL) 의연동방식을이해한다. HTML 이지원하는기본태그명령어와프레임구조를이해한다. HTTP 의요청 / 응답메시지의구조와동작원리를이해한다. CGI 의원리를이해하고 FORM 태그로사용자입력을처리하는방식을알아본다.

More information

PowerPoint Presentation

PowerPoint Presentation Class - Property Jo, Heeseung 목차 section 1 클래스의일반구조 section 2 클래스선언 section 3 객체의생성 section 4 멤버변수 4-1 객체변수 4-2 클래스변수 4-3 종단 (final) 변수 4-4 멤버변수접근방법 section 5 멤버변수접근한정자 5-1 public 5-2 private 5-3 한정자없음

More information

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터 운영체제실습 Raspbian 설치 2017. 3 표월성 wspyo74@naver.com cherub.sungkyul.ac.kr 목차 Ⅰ. 설치 1. 라즈비안 (Raspbian 설치 ) 2. 설치후, 설정 설정사항 Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로

More information

0. 들어가기 전

0. 들어가기 전 컴퓨터네트워크 14 장. 웹 (WWW) (3) - HTTP 1 이번시간의학습목표 HTTP 의요청 / 응답메시지의구조와동작원리이해 2 요청과응답 (1) HTTP (HyperText Transfer Protocol) 웹브라우저는 URL 을이용원하는자원표현 HTTP 메소드 (method) 를이용하여데이터를요청 (GET) 하거나, 회신 (POST) 요청과응답 요청

More information

하는 gd의예를들면, /usr/ports/graphics/php52-gd 에서설치해줄수있고, xml 처리를담당하는 xml 확장모듈은 /usr/ports/textproc/php52-xml 에서설치가능하다. 어느디렉토리에서제공되는지를알려면포트시스템의루트 (/usr/port

하는 gd의예를들면, /usr/ports/graphics/php52-gd 에서설치해줄수있고, xml 처리를담당하는 xml 확장모듈은 /usr/ports/textproc/php52-xml 에서설치가능하다. 어느디렉토리에서제공되는지를알려면포트시스템의루트 (/usr/port [FreeBSD] 아파치와 PHP 설치및설정하기 [un]ion http://ko.shutterpress.net 0.1: 초기버전 0.2: httpd.conf의 Directory 지시자관련수정보완문제해결의오탈자수정보완 phpinfo.php 파일관련수정보완 FreeBSD 의포트시스템을이용하면아파치웹서버와 PHP 설치및설정이어렵지않 게가능하다. 아래과정대로명령어를입력해서설치하고설정하면된다.

More information

암호내지2010.1.8

암호내지2010.1.8 Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀

More information

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx #include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의

More information

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc Asp Mssql Sql Injection Tool 분석보고서 이재곤 (x0saver@gmail.com) SK Infosec Co., Inc MSS 사업본부 / 침해대응센터모의해킹파트 Table of Contents 1. 개요... 3 2. 구성... 3 3. 분석... 4 3.1. 기능분석... 4 4. 공격원리...14 4.1 기본공격원리...14 4.2

More information

웹사이트 운영, 이보다 쉬울 수 없다! Microsoft Azure를 이용한 웹사이트 구축

웹사이트 운영, 이보다 쉬울 수 없다!  Microsoft Azure를  이용한 웹사이트 구축 2014 년 4 월 IaaS 는기본, PaaS 로도약. Microsoft Azure! Session 1 웹사이트운영, 이보다쉬울수없다! Microsoft Azure 를이용한웹사이트의구축 - 한국마이크로소프트이건복이사 목차 Azure Web Sites의정의아키텍처구성규모조정 / 배포 / 디버깅 / Web Jobs About Me? 이건복 kblee@microsoft.com

More information

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com Content 1. SSL Strip - SSL? - SSL MITM - SSL Strip 2. SSL Strip 공격 3. 대응방법 Copyright@2012 All Rights Reserved by SemiDntmd 2 1. SSL Strip 1-1

More information

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 2017 년보안서버구축교육 2017. 11 보안서버 종류 - 웹브라우저와웹서버간송 수신하는데이터를암호화하여전송하는기능이구축되어있는서버 ( 웹사이트 ) - SSL(Security Socket Layer) 방식 - 어플리케이션 (API) 방식 (= 인증서처리프로그램 ) 보안서버구축효과 - 정보유출방지 - 송 수신데이터암호화로개인정보노출방지 보안서버구축효과 데이터위변조방지

More information

3. 다음장에나오는 sigprocmask 함수의설명을참고하여다음프로그램의출력물과그출력물이화면이표시되는시점을예측하세요. ( 힌트 : 각줄이표시되는시점은다음 6 가지중하나. (1) 프로그램수행직후, (2) 5 초후 (3) 10 초후 (4) 15 #include <signa

3. 다음장에나오는 sigprocmask 함수의설명을참고하여다음프로그램의출력물과그출력물이화면이표시되는시점을예측하세요. ( 힌트 : 각줄이표시되는시점은다음 6 가지중하나. (1) 프로그램수행직후, (2) 5 초후 (3) 10 초후 (4) 15 #include <signa 학번 : 이름 : 1. 다음가정하에서아래프로그램의출력물을예측하세요. 가정 : 부모프로세스의 process id=10100, 자식프로세스의 process id=10101. char buf[] = "a write to stdout\n"; int var; /* automatic variable on the stack */ pid_t pid; int glob = 31;

More information

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여

More information

슬라이드 1

슬라이드 1 -Part3- 제 4 장동적메모리할당과가변인 자 학습목차 4.1 동적메모리할당 4.1 동적메모리할당 4.1 동적메모리할당 배울내용 1 프로세스의메모리공간 2 동적메모리할당의필요성 4.1 동적메모리할당 (1/6) 프로세스의메모리구조 코드영역 : 프로그램실행코드, 함수들이저장되는영역 스택영역 : 매개변수, 지역변수, 중괄호 ( 블록 ) 내부에정의된변수들이저장되는영역

More information

RHEV 2.2 인증서 만료 확인 및 갱신

RHEV 2.2 인증서 만료 확인 및 갱신 2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_

More information

BMP 파일 처리

BMP 파일 처리 BMP 파일처리 김성영교수 금오공과대학교 컴퓨터공학과 학습내용 영상반전프로그램제작 2 Inverting images out = 255 - in 3 /* 이프로그램은 8bit gray-scale 영상을입력으로사용하여반전한후동일포맷의영상으로저장한다. */ #include #include #define WIDTHBYTES(bytes)

More information

SBR-100S User Manual

SBR-100S User Manual ( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S

More information

Microsoft PowerPoint - web-part03-ch20-XMLHttpRequest기본.pptx

Microsoft PowerPoint - web-part03-ch20-XMLHttpRequest기본.pptx 과목명 : 웹프로그래밍응용교재 : 모던웹을위한 JavaScript Jquery 입문, 한빛미디어 Part3. Ajax Ch20. XMLHttpRequest 2014년 1학기 Professor Seung-Hoon Choi 20 XMLHttpRequest XMLHttpRequest 객체 자바스크립트로 Ajax를이용할때사용하는객체 간단하게 xhr 이라고도부름 서버

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 KeyPad Device Control - Device driver Jo, Heeseung HBE-SM5-S4210 에는 16 개의 Tack Switch 를사용하여 4 행 4 열의 Keypad 가장착 4x4 Keypad 2 KeyPad 를제어하기위하여 FPGA 내부에 KeyPad controller 가구현 KeyPad controller 16bit 로구성된

More information

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황

More information

설명 Description 상세정보 네이버에서운영하는서비스중하나인쥬니어네이버 ( 이하쥬니버 ) 에서는쥬니버서비스와 관련하여도움을주기위한 [ 그림 1] 과같은플래시애플리케이션이서비스되고있다.[2] [ 그림 1] 쥬니어네이버에서서비스중인쥬니버도우미플래시애플리케이션 해당플래

설명 Description 상세정보 네이버에서운영하는서비스중하나인쥬니어네이버 ( 이하쥬니버 ) 에서는쥬니버서비스와 관련하여도움을주기위한 [ 그림 1] 과같은플래시애플리케이션이서비스되고있다.[2] [ 그림 1] 쥬니어네이버에서서비스중인쥬니버도우미플래시애플리케이션 해당플래 네이버플래시애플리케이션 XSS 취약점분석보고서 작성일 2013/04/24 작성자 카이스트시스템보안연구실 홍현욱 (karmatia@kaist.ac.kr) 최현우 (zemisolsol@kaist.ac.kr) 김용대 (yongdaek@kaist.ac.kr) 요약 플래시애플리케이션은보고서작성일을기준으로전체웹사이트의 19.5% 가사용하고있으며 [5] 이러한플래시애플리케이션을작동시켜주는플래시플레이어는웹브라우저에기본적으로설치되어있거나웹브라우저에서웹사이트를이용하는사용자들에게자동으로설치하도록유도한다.

More information

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2 [Win] SAS Enterprise Miner6.1 설치가이드 - Single User 작성자 : 기술지원팀 (SAS Korea) 단계 1) 설치전주의 / 확인사항 2) 사용자생성및권한할당 3) SAS Software Deport 생성 4) SAS Enterprise Miner 설치 (SAS Foundation + Enterprise Miner 6.1) 5)

More information

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E >

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E > 6. ASP.NET ASP.NET 소개 ASP.NET 페이지및응용프로그램구조 Server Controls 데이터베이스와연동 8 장. 데이터베이스응용개발 (Page 20) 6.1 ASP.NET 소개 ASP.NET 동적웹응용프로그램을개발하기위한 MS 의웹기술 현재 ASP.NET 4.5까지출시.Net Framework 4.5 에포함 Visual Studio 2012

More information

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase startup-config Erasing the nvram filesystem will remove all configuration files Continue? [confirm] ( 엔터 ) [OK] Erase

More information

Observational Determinism for Concurrent Program Security

Observational Determinism for  Concurrent Program Security 웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구

More information

학번 : 이름 1. 다음프로그램실행결과를예측하시오. $./a.out & [1] 7216 $ kill -USR $ kill -USR 아래학생이작성한쓰레드코드의문제점을설명하시오. void* thread_main() { pthread_mutex_t

학번 : 이름 1. 다음프로그램실행결과를예측하시오. $./a.out & [1] 7216 $ kill -USR $ kill -USR 아래학생이작성한쓰레드코드의문제점을설명하시오. void* thread_main() { pthread_mutex_t 학번 : 이름 1. 다음프로그램실행결과를예측하시오. $./a.out & [1] 7216 $ kill -USR1 7216 $ kill -USR2 7216 2. 아래학생이작성한쓰레드코드의문제점을설명하시오. void* thread_main() pthread_mutex_t lock=pthread_mutex_initializer; pthread_mutex_lock(&lock);

More information

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,

More information

소프트웨어설치 1. 소프트웨어설치및제거 ( 소스코드 ) 소스코드컴파일을이용한 S/W 설치 1. 소스코드다운로드 - 예 ) httpd tar.gz - 압축해제 : #tar xzvf httpd tar.gz - INSTALL 또는 README파일참조

소프트웨어설치 1. 소프트웨어설치및제거 ( 소스코드 ) 소스코드컴파일을이용한 S/W 설치 1. 소스코드다운로드 - 예 ) httpd tar.gz - 압축해제 : #tar xzvf httpd tar.gz - INSTALL 또는 README파일참조 운영체제실습 소프트웨어관리 2016. 6 표월성 passwd74@naver.com cherub.sungkyul.ac.kr 목차 Ⅶ. 소프트웨어관리 1. 소스코드컴파일을이용한소프트웨어설치 2. RPM패키지를이용한소프트웨어설치 3. YUM패키지를이용한소프트웨어설치 4. APT패키지를이용한소프트웨어설치 5. Telnet서버설치 6. ssh서버 (openssh) 설치

More information

슬라이드 1

슬라이드 1 쇼핑몰, 딥줌그리고 Azure Doubleguy 이철성 Forbiz 싞훈식 Overview 기존서비스들의고민 클라우드의장점 Windows.Azure.com 의사용방법 PHP Azure SDK 사용방법 ( 이클립스를이용한 ) PHP Azure Command Prompt 를이용한패키징 상호연동데모 DeepZoom Composing Services 실버라이트딥줌타일이미지생성서버혹은서비스

More information