FOCUS Ⅰ. 개요 1. 사이버공격동향과거 10년전에비해사이버공격의방법은광범위하고지능적이며, 미치는범위는급격히확대되고있다. 과거개별시스템에존재하는취약점에대한스크립트키디정도의공격에서, 이제조직화된범죄단체또는국가가후원하는조직에서서버뿐만아니라클라이언트프로그램취약점, 스피어
|
|
- 보경 염
- 7 years ago
- Views:
Transcription
1 FOCUS 4 크로스사이트스크립팅 (XSS) 공격종류및대응방법 FOCUS 성윤기 과거 10년전에비해사이버공격의방법은지능적이고, 미치는범위는급격히확대되고있다. 단일취약점에대한스크립트키디수준의공격에서, 이제조직화된범죄단체또는국가가후원하는조직에서서버뿐만아니라클라이언트취약점, 스피어피싱공격등여러취약점공격을자동화하는악성코드를배포하여대규모감염을유도하는공격등다양한플랫폼을대상으로복합적인형태의공격을통해사이버공격자가원하는중요정보나금전을훔치는공격으로발전하고있다. 이중크로스사이트스크립팅취약점은취약한웹사이트에악성스크립트를포함할수있는손쉬운방법중하나로공격자들이가장많이선호하는방식중하나이다. XSS 취약점은 OWASP Top 에도여전히 3번째높은위험으로매겨져있으며, 취약점분포도도 매우광범위 한수준으로본취약점은조직의정보자산을보호하는데가장큰위험중하나라고할수있다. 그래서본문서에서는크로스사이트스크립트취약점, 공격방법및근본적으로해결할수있는방안에대해서살펴본다. Ⅰ. 개요 1. 사이버공격동향 2. HTTP 프로토콜 Ⅱ. XSS 취약점및공격 1. XSS 취약점및현황 2. XSS 공격종류 3. XSS 공격피해 Ⅲ. XSS 취약점예방기술 1. 입 출력값검증및무효화 2. 보안라이브러리 3. 브라우저확장프로그램 Ⅳ. 결론 한국인터넷진흥원종합상황대응팀책임연구원 (yune@kisa.or.kr) Internet & Security Focus 월호 69
2 FOCUS Ⅰ. 개요 1. 사이버공격동향과거 10년전에비해사이버공격의방법은광범위하고지능적이며, 미치는범위는급격히확대되고있다. 과거개별시스템에존재하는취약점에대한스크립트키디정도의공격에서, 이제조직화된범죄단체또는국가가후원하는조직에서서버뿐만아니라클라이언트프로그램취약점, 스피어피싱 (Spear phishing) 1) 기법등복합적인공격방법을이용하여사이버공격자가원하는중요정보나금전을훔치는공격으로발전하고있다. 조직에서는내부시스템에대한비인가접속시도및공격을차단하기위해다양한보안솔루션을구축함에따라, 공격자는내부사용자의합법적인인터넷사용을악용하는방식으로공격방법을변경하였다. 즉사용자가정상적으로웹사이트를접속할때또는이메일을읽을때공격자가여기에악성스크립트를포함하여개인의 PC를감염시키고, 조직내부시스템에침투하여원하는정보를탈취해가고있다. 공격자는자동화공격악성코드를배포하여많은수의서버를동시에감염시키고, 하나의시스템에취약점이발견되면이를이용해서다른시스템으로 2차공격하는등취약점을이용하여넓은범위와빠른속도로피해가확산될수있다. 35% 30% 25% 20% 15% 10% 5% 0% 3% 1% 2% 1% 2% IE 취약점 PDF 화일한글화일 MS 문서 Java 취약점 1% abobe 취약점 30% 웹사이트 주요전파경로 분포 웹사이트 286 건 (30%) IE 취약점 25 건 (3%) PDF 파일 7건 (1%) 한글파일 16 건 (2%) MS 문서 10 건 (1%) Adobe 취약점 8건 (1%) [ 그림 1] 악성코드주요전파경로별분류 주 : 위표에언급된수치는 3,693 개악성코드에대한자체분석결과로타기관및업체의내용과다를수있음 출처 : 한국인터넷진흥원수집 PC 악성코드분석동향 ( 12.1 ~ 13.3) 1) 스피어피싱 (Spear phishing) : 모르는사람에게무작위로피싱이메일을보내는것이아니라특정조직을공격하기 위해공격대상조직의중요시스템및정보와관련있는특정인을대상으로피싱이메일을보내는방식 70 Internet & Security Focus 월호
3 [ 그림 1] 과같이 2012 년 1 월에서 2013 년 3 월까지의한국인터넷진흥원에서분석한악성코드 배포방식을조사한결과웹사이트를통해이용자에게전파된경우가전체의 30% 로대부분을 차지하고있는것으로나타났다. 나머지악성문서를통한배포가 4%, IE 및어도비등 FOCUS 애플리케이션소프트웨어를통한배포가 4% 로나타났다. 즉웹사이트의취약점을이용한악성코드배포가여전히인터넷이용자에게큰위협요인이되고있다. 본문서에서는이러한합법적인인터넷서비스인웹과이메일서비스를통해사용자와조직내부공격에사용할수있는웹기반취약점중하나인크로스사이트스크립팅 (XSS) 의문제점과해결책을다룬다. XSS 취약점은 2013 년에 OWASP 2) 국제웹보안표준기구에서발표한 OWASP Top 에도 3번째높은위험으로평가되었으며 ( OWASP Top 에서는 2번째높은위험 ), 취약점분포도는 매우광범위 한수준으로, 이취약점으로인해다양한위험이발생하고있다고할수있다. 최근에이슈가되고있는지능적위협 (APT) 및워터링홀 3) 유형의공격에서도 XSS 취약점과사회공학적기법을결합하여공격한다. XSS 취약점을이용한공격은탐지도어려울뿐만아니라, 공격이성공하는경우조직내부의 PC를해킹하여내부시스템까지접근할수있는위험이있다. 그래서본문서에서는이러한 XSS 위험을효과적으로줄이고, 이를활용한지능적사이버공격을예방하기위해 XSS 취약점의원인, 공격방법및근본적인해결책에대해서고찰한다. 2. HTTP 프로토콜 XSS 공격은웹응용에존재하는취약점을기반으로웹서버와클라이언트간통신방식인 HTTP 4) 프로토콜동작과정중에발생한다. HTTP 프로토콜이란웹서버와클라이언트간서버에저장된웹문서 ( 일반적으로 HTML 5), 스크립트, 이미지 (.gif,.jpeg) 등을클라이언트로전달하기위한표준규약 (RFC 6) 2616) 이다. 먼저클라이언트 ( 브라우저 ) 는서버로헤더정보를포함하여관련정보를요청 (request) 하면, 웹서버는클라이언트의요청을분석하여요청한자원데이터및헤더를포함하여클라이언트로응답 (Response) 을보낸다. 2) OWASP(Open Web Application Security Project) : 웹응용및소프트웨어보안문제를해결하기위해전세계전문가들로구성된비영리재단. 3년에 1회 OWASP Top 10 이라는웹응용취약점위험에대해서발표한다. 3) 워터링홀공격 : 공격대상조직의특징을빅데이터로조사하여구성원들이많이방문하는웹사이트에공격코드를삽입하여, 공격대상조직을감염시키고침투하는방법 4) HTTP(HyperText Transfer Protocol) : 인터넷으로서버와브라우저간 HTML 문서를송수신할수있도록요청 (request)/ 응답 (response) 통신규약 5) HTML(HyperTest Markup Language) : 웹문서를작성하기위한문법언어. 가장큰특징은문서에링크를포함하여문서간연결및이동을보장한다. 6) RFC(Request for Comments) : IETF(Internet Engineering Task Force) 에서제정한인터넷통신을위한표준을정의한문서명 Internet & Security Focus 월호 71
4 FOCUS 1 GET / HTTP/1.1 2 ACCEPT_ENCODING: gzip,deflate,sdch 3 CONNECTION: keep-alive 4 ACCEPT: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 5 ACCEPT_CHARSET: windows-949,utf-8;q=0.7,*;q=0.3 6 USER_AGENT: Mozilla/5.0 (X11; Linux i686) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/ ACCEPT_LANGUAGE: ko-kr,ko;q=0.8,en-us;q=0.6,en;q=0.4 8 HOST: 9 Cookie2: $Version=1; Skin=new; [ 그림 2] HTTP 요청헤더양식 [ 그림 2] 와 [ 그림 3] 는브라우저에서서버 ( 을접속할때발생한요청헤더및응답헤더를보여준다. 브라우저가서버의데이터를요청하고, 서버는응답시헤더의뒤에는 의첫페이지 HTML 데이터가브라우저로전달되며, 브라우저가이를해석하여사용자에게보여준다. HTTP 프로토콜의요청및응답프로토콜필드의자세한사항은 RFC 2616 에정의되어있다. 1 HTTP/ OK 2 Date: Fri, 08 Jul :59:41 GMT 3 Server: Apache/2.2.4 (Unix) PHP/ X-Powered-By: PHP/ Expires: Mon, 26 Jul :00:00 GMT 6 Last-Modified: Fri, 08 Jul :59:41 GMT 7 Cache-Control: no-store, no-cache, must-revalidate 8 Content-Length: Keep-Alive: timeout=15, max= Connection: Keep-Alive 11 Content-Type: text/html 12 Set-Cookie2: UserID=JohnDoe; Max-Age=3600; Version=1 [ 그림 3] HTTP 응답헤더양식 72 Internet & Security Focus 월호
5 XSS 공격은브라우저로전달되는데이터에악성스크립트가포함되어개인의브라우저에서 실행되면서해킹을하는것이며, 이공격용악성스크립트는공격자가웹서버에구현된웹 애플리케이션의 XSS 취약점을이용하여서버측또는 URL 에미리삽입을해놓은것이다. FOCUS Ⅱ. XSS 취약점및공격 1. XSS 취약점및현황웹애플리케이션보안연구재단인 OWASP 에따르면 크로스사이트스크립팅 (XSS) 는애플리케이션에서브라우저로전송하는페이지에서사용자가입력하는데이터를검증하지않거나, 출력시위험데이터를무효화시키지않을때발생한다 라고정의되어있다. 즉공격자가의도적으로브라우저에서실행될수있는악성스크립트를웹서버에입력또는이것을출력시위험한문자를중성화시키지않고처리하는애플리케이션의개발과정에서발생한다. XSS는일반적으로자바스크립트에서발생하지만, VB 스크립트, ActiveX 등클라이언트에서실행되는동적데이터를생성하는모든언어에서발생이가능하다. 전세계시스템공격방법통계에서도 XSS는 3위 SQL 7) 인젝션 (17%) 에이어 4위 (6.2%) 를차지하는등여전히맹위를떨치고있다 ( 출처 : The Web Application Security Consortium). 뿐만아니라 2011 년에발표된 SANS/CWE 가장위험한 25 大소프트웨어오류 8) 에서 4번째로높은위험 ( 위험도 77.7 점기록 ) 으로기록되고있다. 이와같이 XSS 취약점은비교적쉽게공격할수있으며웹애플리케이션개발시제거되지않아매우광범위하게분포되고있다고할수있다. 그래서이취약점을이용한악성스크립트배포및이를통한악성코드배포및클라이언트프로그램해킹등현재도개인및조직의보안에큰위협이되고있다. 7) SQL(Structured Query Language) : 관계형데이터베이스관리시스템 (DBMS) 의데이터를관리하기위해설계된프로그래밍언어 8) 보안연구소인 SANS 연구소와취약점데이터베이스목록인 CWE 가소프트웨어프로그래밍과정에서가장많이존재하는취약한요소를정의한문서 Internet & Security Focus 월호 73
6 FOCUS 2. XSS 공격종류그렇다면공격자가어떻게 XSS 취약점을이용하여공격하는지알아보자. XSS 취약점을이용한공격방법은 3가지로분류된다. 하나는접속자가많은웹사이트를대상으로공격자가 XSS 취약점이있는웹서버에공격용스크립트를입력시켜놓으면, 방문자가악성스크립트가삽입되어있는페이지를읽는순간방문자의브라우저를공격하는방식이며 ( 저장 XSS 공격 ), 또하나는반사 XSS 공격으로악성스크립트가포함된 URL을사용자가클릭하도록유도하여 URL 을클릭하면클라이언트를공격하는것이고 ( 반사 XSS 공격 ), 마지막으로 DOM 환경에서악성 URL 을통해사용자의브라우저를공격하는것이다 (DOM 기반 XSS 공격 ). 1) 저장 XSS 공격저장 XSS 공격은 [ 그림 4] 와같이웹애플리케이션취약점이있는웹서버에악성스크립트를영구적으로저장해놓는방법이다. 이때웹사이트의게시판, 사용자프로필및코멘트필드등에악성스크립트를삽입해놓으면, 사용자가사이트를방문하여저장되어있는페이지에정보를요청할때, 서버는악성스크립트를사용자에게전달하여사용자브라우저에서스크립트가실행되면서공격한다. [ 그림 4] 저장 XSS 공격방법 74 Internet & Security Focus 월호
7 가장일반적인방법은게시판같은곳에 HTML 문서에 <script> 를이용하여이스크립트태그안에악성스크립트를저장하는방식이다. 즉텍스트만표시되도록설계된어떤게시판에 <script> 악성스크립트 </script> 과같은태그를포함한다. 이경우에게시판에는태그가나타나지않으며사용자는확인할수가없다. [ 그림 5] 는브라우저의쿠키값을보여주는간단한스크립트이며, 어떤웹페이지에 <script>alert(document.cookie)</script> 가포함되어있는어떤페이지를사용자가읽을때마다, 브라우저는이스크립트를실행하면서쿠키값을보여주게된다. 공격자는 alert(document.cookie) 스크립트대신정교한공격용코드를포함하여다양한공격을수행할수있다. FOCUS <script>alert(document.cookie)</script> [ 그림 5] XSS 용자바스크립트 저장 XSS 는공격자입장에서사용자들이많이방문하는사이트가공격대상으로가장적합한곳이다. 즉유명온라인게시판, 웹기반이메일및사용자프로필등에악성스크립트를포함하면, 다른방문자들이해당페이지를읽어보는즉시악성스크립트가브라우저에서실행되면서감염되므로효과적이다. 2) 반사 XSS 공격반사식 XSS 공격은웹애플리케이션의지정된변수를이용할때발생하는취약점을이용하는것으로, 검색결과, 에러메시지등서버가외부에서입력받은값을받아브라우저에게응답할때전송하는과정에서입력되는변수의위험한문자를사용자에게그대로돌려주면서발생한다. 일반적으로서버에검색내용을입력하면, 검색결과가있는경우에는결과값을사용자에게전달하지만, [ 그림 6] 과같이서버에서정확한결과가없는경우서버는브라우저에입력한값을 [ 그림 7] 과같이그대로 HTML 문서에포함하여응답한다. 이경우 HTML 페이지에포함된악성스크립트가브라우저에서실행이된다. [ 그림 6] 반사 XSS 공격용 URL Internet & Security Focus 월호 75
8 FOCUS <html> <body> <div id="pagetitletxt"> <h2><span class="highlight">search Results</span><br /> Search: "<script>alert(document.cookie)</script>"</h2> </body> </html> [ 그림 7] 서버가반사한 HTML 데이터 즉사용자가서버로입력한값을, 서버는요청한사용자의브라우저로악성스크립트를반사시킨다. 반사 XSS 공격은주로사용자에게악성 URL을배포하여사용자가클릭하도록유도하여클릭한사용자를바로공격한다. 즉사용자는악성스크립트가포함된링크를클릭한순간바로악성스크립트가사용자의브라우저에서실행된다. 반사 XSS 공격은이메일메세지또는다른웹사이트와같이다양한경로로피해자시스템에게전달된다. 일반적인반사 XSS 공격단계는다음과같다. 1) 공격자는먼저 A사이트에 XSS 취약점이있는것을발견한다. 2) 민감한정보를획득할수있는공격용악성 URL 을생성한다. 3) 공격자는이 URL 을이메일메시지에포함하여배포한다. 4) 피해자가 URL 을클릭하면, 바로공격스크립트가피해자로반사되어 A 사이트에관련된민감한정보 (ID/ 패스워드, 세션정보 ) 를공격자에게전송한다. [ 그림 8] 반사 XSS 공격방법 76 Internet & Security Focus 월호
9 3) DOM 기반 XSS 공격 DOM(Document Object Model) 이란 W3C 표준으로 HTML 및 XML 문서에접근방법을표준으로정의하는문서객체모델이다. W3C 9) 에서는 DOM 을 프로그램및스크립트가문서의컨텐츠, 구조및형식을동적으로접근및업데이트할수있도록하는언어중립적인인터페이스이다 라고정의되어있다. DOM은 HTML 문서를계층적으로보면서컨텐츠를동적으로변경할수있다. DOM 기반 XSS 공격은 2005 년에처음으로아밋클라인 (Amit Klein) 이관련취약점논문을발표하면서알려졌다. 피해자의브라우저가 HTML 페이지를구문분석할때마다공격스크립트가 DOM 생성의일부로실행되면서공격한다. 페이지자체는변하지않으나, 페이지에포함되어있는브라우저측코드가 DOM 환경에서악성코드로실행된다. 앞에서다룬저장 XSS 및반사 XSS 공격의악성페이로드가서버측애플리케이션취약점으로인해, 응답페이지에악성스크립트가포함되어브라우저로전달되면서공격하는것인반면, DOM 기반 XSS 는서버와관계없이브라우저에서발생하는것이차이점이다. FOCUS [ 그림 9] DOM 기반 XSS 공격방법 9) W3C : World Wide Consortium 으로웹의창시자팀버너스리가웹표준을제정하기위해만들비영리재단 Internet & Security Focus 월호 77
10 FOCUS 일반적으로 DOM 기반 XSS 취약점있는브라우저를대상으로조작된 URL 을이메일을통해 사용자에게전송하면, 피해자는이 URL 링크를클릭하는순간공격피해를입게된다. <HTML> <TITLE>Welcome!</TITLE> Hi <script> var pos=document.url.indexof("name=")+5; document.write(document.url.substring(pos,document.url.length)); </script> <br> Welcome to our system This demo borrowed from </HTML> [ 그림 10] DOM 스크립트 [ 그림 10] 과같이개발된 DOM 페이지의 name 변수에아래와같이변수를입력하면 ( 정상적으로동작한다. 하지만, DOM 기반 XSS 공격을위해서 [ 그림 11] 와같이입력을하면, 브라우저에서 <script> 의내용이실행되게된다. [ 그림 11] DOM 기반 XSS 공격 URL 아래 [ 그림 12] 는 DOM 기반 XSS 공격을예방기법을회피하기위한방법으로브라우저에서 # 문자뒤에있는값을서버로전송하지않는것을이용하지만, 브라우저에서는동일하게 실행이된다. 78 Internet & Security Focus 월호
11 FOCUS [ 그림 12] DOM 기반 XSS 공격예방우회 URL 3. XSS 공격의피해 본고에서언급한 <script>alert(document.cookie)</script> 스크립트는쿠키값을출력하는 악성스크립트이지만, 본스크립트대신다양한공격용코드로대체하면쿠키정보및세션정보 획득, 클라이언트프로그램해킹등다양한방법으로클라이언트시스템을공격할수있다. 1) 쿠키정보 / 세션 ID 획득쿠키란웹서버가 HTTP 헤더중 Set-Cookie 필드로브라우저에게보내는 4KB 이하의작은텍스트파일이며, 사용자가웹사이트를이용하는동안사용자브라우저에저장된다. 사용자가웹사이트의페이지를클릭할때마다브라우저는웹서버에게사용자의상태를다시알려준다. 사용자상태를기록하기위해쿠키값에로그인, 버튼클릭등에대한정보를저장한다. 세션쿠키는사용자가웹사이트를읽거나방문하는동안에만임시로메모리에존재하는쿠키이다. 쿠키생성시쿠키만료시기또는유효성기간이설정되어있지않은경우에세션쿠키가만들어진다. 브라우저에서는사용자가브라우저를종료하면세션쿠키를삭제한다. 웹애플리케이션이세션 ID를쿠키에포함하는경우 XSS 공격을통해, 클라이언트의합법적인세션 ID를획득하여불법적으로정상사용자로가장할수있다. 2) 시스템관리자권한획득 XSS 취약점을이용하여사용자브라우저취약점을공격하여 PC를완전히통제할수도있다. 공격자는 XSS 취약점있는웹서버에다양한악성데이터를포함시켜놓은후, 사용자의브라우저가악성데이터를실행하는경우자신의브라우저있는제로데이취약점또는패치되지않은취약점을공격하는공격코드가실행되면서사용자시스템을완전히통제할수있다. 회사등조직의개인의 PC가해킹되는경우, 조직의내부시스템으로이동하여내부의중요정보를탈취하는공격으로이어질수있다. Internet & Security Focus 월호 79
12 FOCUS 3) 악성코드다운로드 XSS 공격은악성스크립트자체로만으로는악성프로그램을다운로드할수없지만, 사용자가악성스크립트가있는 URL 을클릭하도록유도하여악성프로그램을다운로드받는사이트로리다이렉트 (redirect) 하거나, 트로이목마프로그램을다운로드하여설치할수있다. Ⅲ. XSS 취약점예방기술 XSS 취약점은쉽게악용될수있으며, 공격효과도커공격자들이자주이용하는기술이다. 많은조직에서 XSS 공격을대응하기위해웹방화벽 (WAF) 을도입하여방어를하고있으나, 대부분의웹방화벽은시그너쳐기반의 XSS 공격만을탐지하고있다. 하지만특정문자열을탐지하는기술은쉽게우회가가능하여방어가효과적이지는못하다. 또한웹애플리케이션개발자는 <script> 태그등브라우저에서실행되는위험한문자를중성화하여 XSS 취약점을예방하고있다. 하지만웹개발자들이일일이수동적으로위험한문자를필터링및인코딩하는것은현실적으로불가능하며, 취약점이잔존하게된다. 이러한방식으로인해중소및대형웹사이트등에서 XSS 취약점이지속적으로발견되고있다. 1. 입 출력값검증및무효화 XSS 취약점을근본적으로제거하기위해서는스크립트등해킹에사용될수있는코딩에사용되는입력및출력값에대해서검증하고무효화시켜야한다. 입력값에대한유효성검사는데이터가입력되기전에가능하면, 입력데이터에대한길이, 문자, 형식및사업적규칙유효성을검사해야한다. 출력값을무효화하기위해서는 XSS 공격은기본적으로 <script> 태그를사용하기때문에 XSS 공격을차단하기위해태그문자 (<, >) 등위험한문자입력시문자참조 (HTML entity) 로필터링하고, 서버에서브라우저로전송시문자를인코딩하는것이다. HTML 문자참조란 ASCII 문자 10) 를동일한의미의 HTML 문자로변경하는과정이다. 예를들어, 문자 < 는동일한의미의 10) ASCII(American Standard Code for Information Interchange) 문자는컴퓨터에서사용되는문자의코딩값이다. 80 Internet & Security Focus 월호
13 HTML < 로변경한다. HTML 엔터티는대부분의인터프리터 ( 특히, 브라우저 ) 에서특수한의미를가지지않으며, 단순한문자로처리된다. 이렇게인코딩하면사용자는 <script> 가 <script> 로보이지만 HTML 문서에서는 <script> 로나타나서브라우저에서일반문자로인식하고스크립트로해석되어실행되지는않는다. FOCUS ASCII 문자 참조문자 ASCI 문자 참조문자 & & " " < < ' ' > > / / ( ( ) ) [ 그림 13] 위험문자인코딩 [ 그림 13] 은 HTML 문서에서악성스크립트에포함되어브라우저에서실행될수있는문자와대체문자를정리한것이다. 악성스크립트는많은 HTML 태그안에포함을할수있으므로반드시 [ 그림 13] 에있는위험문자의경우출력값을이스케이핑해야한다. CSS 의 DIV 엘리먼트에다음과같이악성자바스크립트를숨길수있다. <DIV STYLE="background-image: url(javascript:alert(document.cookie))"> 그래서 HTML 속성 (attributes) 에들어가는값도 &#xhh (HH 는 16진수값 ) 으로반드시인코딩해야한다. 아이프레임의경우다음과같이악성 URL 을포함시켜악성자바스크립트가포함된페이지를사용자가읽으면서브라우저를공격할수있다. <iframe src=" 악성 URL" width="0" height="0" frameborder="0"></iframe> [ 그림 14] 는악성스크립트등악성데이터를포함되어브라우저를공격할수있는다양한방법의 HTML 태그를정리해놓은것이다. 여기에있는 악성데이터. 악성 URL 및 악성 HTML 악성자바스크립트등이포함이될수있는곳이다. 즉웹애플리케이션개발자들은웹문서를코딩시 [ 그림 14] 에있는태그에포함될악성데이터에대해서반드시입 출력값을검증해야한다. Internet & Security Focus 월호 81
14 FOCUS 데이터형식콘텍스트코딩예방어책 String( 문자열 ) HTML Body <span> 악성데이터 </span> HTML Entity 인코딩 String( 문자열 ) 안전한 HTML Attributes String( 문자열 ) GET 파라미터 String( 문자열 ) String( 문자열 ) String( 문자열 ) SRC 또는 HREF 속성에악성 URL CSS 값 자바스크립트변수 <input type="text" name="fname" value=" 악성데이터 "> <a href="/site/search?value= 악성데이터 ">clickme</a> <a href=" 악성 URL">clickme</a> <iframesrc=" 악성 URL" /> < d i v s t y l e = " w i d t h : 악성데이터 ;">Selection</div> <script>var currentvalue=' 악성데이터 ';</ script> <script> 함수 (' 악성데이터 ');</script> HTML HTML Body <div> 악성 HTML</div> String( 문자열 ) DOM XSS <script>document.write(" 악성입력값 : " + document.location.hash);<script/> HTML Entity 인코딩 악성데이터를화이트리스트방식또는안전한속성에만위치 background, id 및 name 과같은안전하지않은속성을철저히검증 URL 인코딩 입력값정규화 URL 검증 URL 안전성확인 화이트리스트된 http 및 https URL 만허용 ( 새로운창을열기위해자바스크립트프로토콜사용금지 ) 속성인코더사용 엄격하게구조적검증 CSS 16진수인코딩 CSS 기능설계강화 자바스크립트변수를문자화 자바스크립트헥스인코딩 자바스크립트 16진수인코딩 자바스크립트유니코드인코딩 백슬래쉬 (\", \' 또는 \\) 사용금지 HTML 검증 (JSoup, AntiSamy, HTML Sanitizer) DOM 기반 XSS 예방 [ 그림 14] XSS 예방기법 하지만애플리케이션개발자가많은태그의입력문자를검증하기위해코딩시일일이작업하는것은많은노력과자원이소모된다. 또한인코딩방식을통해방어기술을무력화할수있으므로애플리케이션개발자직접모두처리하는것은근본적으로불가능하다. 그래서입 출력값을자동적으로검증해주는라이브러리를사용하면좀더효과적으로대응할수있다. 82 Internet & Security Focus 월호
15 2. 보안라이브러리 FOCUS 1) AntiXSS AntiXSS 라이브러리는마이크로소프트사에서개발한공개용 XSS 취약점예방라이브러리이다. AntiXSS 라이브러리는 ASP.net 애플리케이션개발환경에서사용되며, 현재 ASP.net 4.5 이후버전에만사용이가능하다. 이라이브러리는입력값을검증하여서버로악성스크립트로입력되지못하는기능과위험한문자를인코딩하는함수를제공한다. [ 그림 15] 은 AntiXSS 에서제공하는위험한데이터를출력시인코딩해주는메소드이다. 메소드사용처코딩예 HtmlEncode HtmlAttrEncode UrlQueryEncode JavaScriptEncode XmlEncode XmlAttrEncode GetSafeHtml 신뢰할수없는데이터가 HTML 바디부분에출력되는경우 HTML 속성 (attributes) 에신뢰할수없는데이터를추가해야하는경우 URL 내에쿼리문자열값에신뢰할수없는데이터를추가해야하는경우 신뢰할수없는데이터를자바스크립트변수에지정할경우 XML 데이터부분에신뢰할수없는데이터를출력하는경우 XML 속성값에신뢰할수없는데이터를추가해야하는경우 HTML 바디에신뢰할수없는 HTML 을출력하는경우 <span>[ 악성데이터 ]</span> <p>hello [ 악성데이터 ]</p> <input type="text" name="fname" value="[ 악성데이터 ]"> <p id="[ 악성데이터 ]"></p> <a href="/site/search?value=[ 악성데이터 ]"> clickme</a> JavaScriptEncode <script>var currentvalue='[ 악성데이터 ]';</script> <script>somefunction('[ 악성데이터 ]');</script> <name>[ 악성데이터 ]</name> <name firstname="[ 악성데이터 ]"></name> <div>[ 악성 HTML]</div> [ 그림 15] AntiXSS 의 XSS 예방인코딩메소드 2) OWASP ESAPI 라이브러리 OWASP 는포괄적인애플리케이션보안을위해웹응용취약점을대응할수있는오픈소스 ESAPI 라이브러리를개발하여제공하고있다. ESAPI 에는총 14개의 API 가있으며, 이중 XSS 취약점을예방하기위해 API 는 validator 와 encoder 가있다. validator 는입력값을필터링하는기능을하고있으며, encoder 는출력값을인코딩및디코딩기능을가지고있다. 이라이브러리는자바, PHP,.NET, ASP, 자바스크립트및파이썬등다양한애플리케이션개발언어를지원하고있다. Internet & Security Focus 월호 83
16 FOCUS 3. 브라우저확장프로그램애플리케이션개발시이용하는라이브러리이외에도사용자가 XSS 공격을예방할수있는프로그램도있다. NoScript 는파이어폭스등모질라기반의브라우저에서실행되는오픈소스확장프로그램으로, 화이트리스트기반으로신뢰된사이트의자바스크립트, 플래쉬, 실버라이트및액티브 X 등동적스크립트만브라우저에서실행하도록하여 XSS 공격을예방할수있다. Ⅳ. 결론 본문서에서는많은웹사이트에서발견되고있고, 활발하게공격에이용되는 XSS 취약점, 공격방법및취약점제거방법에대해서살펴보았다. XSS 취약점은문제가되고있는악성 URL 배포를통해 PC를해킹하는데자주사용될뿐만아니라, 피싱문제, 인증데이터획득등으로사용자및조직에심각한위험을초래할수있다. 개발단계에서 XSS 취약점을제거하지않고서는다양한 XSS 형태의공격과우회공격을방어하기는힘들다. XSS 취약점을근본적으로해결하기위해서는애플리케이션개발단계에서위험한데이터입 출력을검증하고인코딩하는방법을선택해야한다. 또한각조직에서는 XSS 취약점을효과적으로제거하기위해웹애플리케이션및소프트웨어개발시공개된다양한오픈소스라이브러리를조직에맞게사용하여 XSS 취약점을근본적으로제거하는노력과투자가필요하다. 참고문헌 심재홍, 금융소비자를위협하는악성코드위협사례분석, 인터넷시큐리티포커스 5월호, 한국인터넷진흥원 월 OWASP Top 가장심각한웹애플리케이션보안위험 10가지, OWASP 재단, 2013 년 8월웹해킹사고통계, The Web Application Security Consortium, 2013 년 11월 SANS 연구소 /MITRE, SANS/CWE 가장위험한 25 大소프트웨어오류, 2010 년 6월 OWASP 재단, XSS (Cross Site Scripting) Prevention Cheat Sheet 마이크로소프트, Anti-Cross Site Scripting Library V4.2, 마이크로소프트 OWASP 재단, OWASP Enterprise Security API 84 Internet & Security Focus 월호
다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");
다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More information제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호
제이쿼리 () 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호 CSS와마찬가지로, 문서에존재하는여러엘리먼트를접근할수있다. 엘리먼트접근방법 $( 엘리먼트 ) : 일반적인접근방법
More information0. 들어가기 전
컴퓨터네트워크 14 장. 웹 (WWW) (3) - HTTP 1 이번시간의학습목표 HTTP 의요청 / 응답메시지의구조와동작원리이해 2 요청과응답 (1) HTTP (HyperText Transfer Protocol) 웹브라우저는 URL 을이용원하는자원표현 HTTP 메소드 (method) 를이용하여데이터를요청 (GET) 하거나, 회신 (POST) 요청과응답 요청
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More informationSecure Programming Lecture1 : Introduction
Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More informationMicrosoft Word - CrossSiteScripting[XSS].docx
1 Education Giehong.E goodbyestar@nate.com abstract - 영리를목적으로한곳에서의불법적인배포는금지합니다. - 문서의내용은임의의가상테스트를대상으로한 OWASP10 의기본적인내용들이며교육을위해만들어진문서입니다. - 비인가받은악의적인행동은불법이며법적책임또한당사자에게있습니다 Copyright@2008 All Rights Reserved
More informationAPI STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum
API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 2012.11.23 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Document Distribution Copy Number Name(Role, Title) Date
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E >
6. ASP.NET ASP.NET 소개 ASP.NET 페이지및응용프로그램구조 Server Controls 데이터베이스와연동 8 장. 데이터베이스응용개발 (Page 20) 6.1 ASP.NET 소개 ASP.NET 동적웹응용프로그램을개발하기위한 MS 의웹기술 현재 ASP.NET 4.5까지출시.Net Framework 4.5 에포함 Visual Studio 2012
More informationMicrosoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc
분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.
More informationResearch & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W
Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments
More information로거 자료실
redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...
More information제목 레이아웃
웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya
More informationvar answer = confirm(" 확인이나취소를누르세요."); // 확인창은사용자의의사를묻는데사용합니다. if(answer == true){ document.write(" 확인을눌렀습니다."); else { document.write(" 취소를눌렀습니다.");
자바스크립트 (JavaScript) - HTML 은사용자에게인터페이스 (interface) 를제공하는언어 - 자바스크립트는서버로데이터를전송하지않고서할수있는데이터처리를수행한다. - 자바스크립트는 HTML 나 JSP 에서작성할수있고 ( 내부스크립트 ), 별도의파일로도작성이가능하다 ( 외 부스크립트 ). - 내부스크립트 - 외부스크립트
More information2009년 상반기 사업계획
웹 (WWW) 쉽게배우는데이터통신과컴퓨터네트워크 학습목표 웹서비스를위한클라이언트 - 서버구조를살펴본다. 웹서비스를지원하는 APM(Apache, PHP, MySQL) 의연동방식을이해한다. HTML 이지원하는기본태그명령어와프레임구조를이해한다. HTTP 의요청 / 응답메시지의구조와동작원리를이해한다. CGI 의원리를이해하고 FORM 태그로사용자입력을처리하는방식을알아본다.
More informationEDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-
EDB 분석보고서 (04.06) 04.06.0~04.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 06월에공개된 Exploit-DB의분석결과, SQL 공격에대한보고개수가가장많았습니다. 이와같은결과로부터여전히 SQL 이웹에서가장많이사용되는임을확인할수있습니다.
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More information게시판 스팸 실시간 차단 시스템
오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP
More informationObservational Determinism for Concurrent Program Security
웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More information<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>
개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000
More informationMicrosoft PowerPoint 웹 연동 기술.pptx
웹프로그래밍및실습 ( g & Practice) 문양세강원대학교 IT 대학컴퓨터과학전공 URL 분석 (1/2) URL (Uniform Resource Locator) 프로토콜, 호스트, 포트, 경로, 비밀번호, User 등의정보를포함 예. http://kim:3759@www.hostname.com:80/doc/index.html URL 을속성별로분리하고자할경우
More information** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름
EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More informationHLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :
HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,
More informationPowerPoint 프레젠테이션
HTML5 웹프로그래밍입문 부록. 웹서버구축하기 1 목차 A.1 웹서버시스템 A.2 PHP 사용하기 A.3 데이터베이스연결하기 2 A.1 웹서버시스템 3 웹서버의구축 웹서버컴퓨터구축 웹서버소프트웨어설치및실행 아파치 (Apache) 웹서버가대표적 서버실행프로그램 HTML5 폼을전달받아처리 PHP, JSP, Python 등 데이터베이스시스템 서버측에데이터를저장및효율적관리
More informationuntitled
웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는
More informationJAVA 프로그래밍실습 실습 1) 실습목표 - 메소드개념이해하기 - 매개변수이해하기 - 새메소드만들기 - Math 클래스의기존메소드이용하기 ( ) 문제 - 직사각형모양의땅이있다. 이땅의둘레, 면적과대각
JAVA 프로그래밍실습 실습 1) 실습목표 - 메소드개념이해하기 - 매개변수이해하기 - 새메소드만들기 - Math 클래스의기존메소드이용하기 ( http://java.sun.com/javase/6/docs/api ) 문제 - 직사각형모양의땅이있다. 이땅의둘레, 면적과대각선의길이를계산하는메소드들을작성하라. 직사각형의가로와세로의길이는주어진다. 대각선의길이는 Math클래스의적절한메소드를이용하여구하라.
More information3장
C H A P T E R 03 CHAPTER 03 03-01 03-01-01 Win m1 f1 e4 e5 e6 o8 Mac m1 f1 s1.2 o8 Linux m1 f1 k3 o8 AJAX
More informationPowerPoint Presentation
WordPress 를이용한웹사이트만들기 2015 년 한지웅 WordPress 를이용한웹사이트만들기 Day 1 Day 2 Day 3 Day 4 Day 5 1. 웹사이트제작기초 HTLM 기본 CSS 기본 WordPress 개론 ( 웹사이트구축툴 ) 2. 웹호스팅 / 웹사이트구축 웹호스팅업체선택 cpanel 설정 WordPress 설치 3. WordPress 기초활용
More information2006_8_14 (8_17 updated) ms06-040 ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp
MS06-040 웜(wgareg.exe) 분석 1. 개요 2. 전파 방법 (그림) browser를 오픈 요청 (그림) srvsvc 에 대한 요청 (그림) Exploit 과정 (그림) 웜 전송 3. 감염 시 악성 기능 (그림) 감염 시 개인방화벽 OFF 예 4. 타 시스템 감염을 위한 공격력 5. 위험 요소 6. 사전 예방 방법 7. 감염 시 치료 방법
More informationMicrosoft PowerPoint - web-part03-ch20-XMLHttpRequest기본.pptx
과목명 : 웹프로그래밍응용교재 : 모던웹을위한 JavaScript Jquery 입문, 한빛미디어 Part3. Ajax Ch20. XMLHttpRequest 2014년 1학기 Professor Seung-Hoon Choi 20 XMLHttpRequest XMLHttpRequest 객체 자바스크립트로 Ajax를이용할때사용하는객체 간단하게 xhr 이라고도부름 서버
More information1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과
1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과 학습내용 1. Java Development Kit(JDK) 2. Java API 3. 자바프로그래밍개발도구 (Eclipse) 4. 자바프로그래밍기초 2 자바를사용하려면무엇이필요한가? 자바프로그래밍개발도구 JDK (Java Development Kit) 다운로드위치 : http://www.oracle.com/technetwork/java/javas
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information제 목
기술문서 14. 03. 06. 작성 파이썬을활용한웹크롤러제작 소속 : 인천대학교 OneScore 작성자 : 최창원 메일 : qwefgh90@naver.com 1. 소개 p.2 2. 라이브러리소개 p.2 3. 샘플예제 p.3 가. 로그인예제 p.3 나. 쿠키활용예제 p.3 다. headless browser(phantomjs) p.3 4. 활용방안 p.8 5.
More information설명 Description 상세정보 네이버에서운영하는서비스중하나인쥬니어네이버 ( 이하쥬니버 ) 에서는쥬니버서비스와 관련하여도움을주기위한 [ 그림 1] 과같은플래시애플리케이션이서비스되고있다.[2] [ 그림 1] 쥬니어네이버에서서비스중인쥬니버도우미플래시애플리케이션 해당플래
네이버플래시애플리케이션 XSS 취약점분석보고서 작성일 2013/04/24 작성자 카이스트시스템보안연구실 홍현욱 (karmatia@kaist.ac.kr) 최현우 (zemisolsol@kaist.ac.kr) 김용대 (yongdaek@kaist.ac.kr) 요약 플래시애플리케이션은보고서작성일을기준으로전체웹사이트의 19.5% 가사용하고있으며 [5] 이러한플래시애플리케이션을작동시켜주는플래시플레이어는웹브라우저에기본적으로설치되어있거나웹브라우저에서웹사이트를이용하는사용자들에게자동으로설치하도록유도한다.
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More information(Microsoft Word - \301\266\301\326\272\300_XSS.docx)
XSS(Cross Site Scripting) 1. XSS 란무엇인가 XSS 란 Cross Site Scripting 의약자 (CSS 라고도불리기도하나 Cascading Style Sheets 와혼용되어일반적으로 XSS 를많이사용한다.) 로 Web 보안취약점중하나이다. 이러한 XSS 는인터넷이생겨나고활성화되기전, 홈페이지소개및단지정보를제공하는정적인페이지에서인터넷이활성화된현재,
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More information< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>
악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.
More informationPowerPoint 프레젠테이션
Web server porting 2 Jo, Heeseung Web 을이용한 LED 제어 Web 을이용한 LED 제어프로그램 web 에서데이터를전송받아타겟보드의 LED 를조작하는프로그램을작성하기위해다음과같은소스파일을생성 2 Web 을이용한 LED 제어 LED 제어프로그램작성 8bitled.html 파일을작성 root@ubuntu:/working/web# vi
More information월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More information[Brochure] KOR_TunA
LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More informationMicrosoft PowerPoint - web-part02-ch15-문서객체조작.pptx
과목명 : 웹프로그래밍응용교재 : 모던웹을위한 JavaScript Jquery 입문, 한빛미디어 Part2. jquery Ch15. 문서객체조작 2014년 1학기 Professor Seung-Hoon Choi 15 문서객체조작 문서객체조작 자바스크립트만으로문서객체모델을다루려면복잡함 jquery를이용하면쉽게다룰수있다. 이책에서가장중요한부분 15.1 문서객체의클래스속성추가
More informationAhnLab_template
해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web
More information이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론
이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More information` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10
월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationPowerPoint 프레젠테이션
워드프레스소개및운용관리안내 1 목차 2 1. 워드프레스소개 역사 2003 년매트물렌웨그에의해탄생 ver0.7 플러그인구조, 애플리케이션프로그램밍인터페이스도입 테마구조와페이지운영이가능한 ver1.5 로테마변경및디자인에대한자유도부여 Wyswyg 방식의문서편집기도입 MU(multi-user) 개념의도입 Social 쉐어플러그인도입으로 (SNS 연계 ) 현재워드프레스
More information쉽게 풀어쓴 C 프로그래밍
CHAPTER 14. HTML5 웹스토리지, 파일 API, 웹소켓 웹스토리지 웹스토리지 (web storage) 는클라이언트컴퓨터에데이터를저장하는메카니즘 웹스토리지는쿠키보다안전하고속도도빠르다. 약 5MB 정도까지저장이가능하다. 데이터는키 / 값 (key/value) 의쌍으로저장 localstorage 와 sessionstorage localstorage 객체
More informationEclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일
Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 Introduce Me!!! Job Jeju National University Student Ubuntu Korean Jeju Community Owner E-Mail: ned3y2k@hanmail.net Blog: http://ned3y2k.wo.tc Facebook: http://www.facebook.com/gyeongdae
More informationCloud Friendly System Architecture
-Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture
More information기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.
기술문서 14. 11. 10. 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 dokymania@naver.com I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. Exploit 5 마. 피해 6 III. 결론 6 가. 권고사항 6 I. 소개 가. 역자 본문서는
More informationThe Pocket Guide to TCP/IP Sockets: C Version
인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More informationPowerPoint Template
JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More informationPowerPoint 프레젠테이션
SECUINSIDE 2017 Bypassing Web Browser Security Policies DongHyun Kim (hackpupu) Security Researcher at i2sec Korea University Graduate School Agenda - Me? - Abstract - What is HTTP Secure Header? - What
More informationPowerPoint 프레젠테이션
09 장 문서객체모델 1. 문서객체모델관련용어 2. 웹페이지생성순서 3. 문서객체선택 4. 문서객체조작 5. 이벤트 문서객체와문서객체모델의개념을이해한다. 문서객체를선택하고조작할수있다. 이벤트의종류를알아보고문서객체에이벤트를연결해본다. 1 문서객체모델관련용어 문서객체모델 (DOM) Document Object Model 웹브라우저가 HTML 파일을분석하고표시하는방법
More information<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F31C2F7BDC32E >
Chapter 8 데이터베이스응용개발 목차 사용자인터페이스와도구들 웹인터페이스와데이터베이스 웹기초 Servlet 과 JSP 대규모웹응용개발 ASP.Net 8 장. 데이터베이스응용개발 (Page 1) 1. 사용자인터페이스와도구들 대부분의데이터베이스사용자들은 SQL을사용하지않음 응용프로그램 : 사용자와데이터베이스를연결 데이터베이스응용의구조 Front-end Middle
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More informationDBMS & SQL Server Installation Database Laboratory
DBMS & 조교 _ 최윤영 } 데이터베이스연구실 (1314 호 ) } 문의사항은 cyy@hallym.ac.kr } 과제제출은 dbcyy1@gmail.com } 수업공지사항및자료는모두홈페이지에서확인 } dblab.hallym.ac.kr } 홈페이지 ID: 학번 } 홈페이지 PW:s123 2 차례 } } 설치전점검사항 } 설치단계별설명 3 Hallym Univ.
More informationMicrosoft PowerPoint - 웹프로그래밍_ ppt [호환 모드]
목차 웹프로그래밍 내장객체의개요 내장객체의종류 11 주차 7 장 JSP 페이지의내장객체와영역 2 내장객체 (Implicit Object) JSP 페이지에서제공하는특수한레퍼런스타입의변수사용하고자하는변수와메소드에접근선언과객체생성없이사용할수있음 내장객체 내장객체 request response out session application pagecontext page
More informationTTA Journal No.157_서체변경.indd
표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH
More information쉽게 풀어쓴 C 프로그래밍
CHAPTER 13. HTML5 위치정보와드래그앤드롭 SVG SVG(Scalable Vector Graphics) 는 XML- 기반의벡터이미지포맷 웹에서벡터 - 기반의그래픽을정의하는데사용 1999 년부터 W3C 에의하여표준 SVG 의장점 SVG 그래픽은확대되거나크기가변경되어도품질이손상되지않는다. SVG 파일에서모든요소와속성은애니메이션이가능하다. SVG 이미지는어떤텍스트에디터로도생성하고편집할수있다.
More informationEDB 분석보고서 (04.03) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. ** 5개이상발생한주요소프트웨어별상세 EDB 번호 종류 공격난이도 공격위험도 이름 소프트웨어이름 3037 SQL Inj
EDB 분석보고서 (04.03) 04.03.0~04.03.3 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 03월에공개된 Exploit-DB의분석결과, 해커들이가장많이시도하는공격으로알려져있는 SQL Injection 공격에대한보고개수가가장많았습니다. 무엇보다주의가필요한부분은
More informationInside Android Applications
WEBSECURIFY WALKTHROUGH 웹 응용프로그램 침투 테스팅 도구 번역 문서 www.boanproject.com 번역 : 임효영 편집 : 조정원 해당 문서는 연구목적으로 진행된 번역 프로젝트입니다. 상업적으로 사용을 하거나, 악의적인 목적에 의한 사용을 할 시 발생하는 법적인 책임은 사용자 자신에게 있음을 경고합니다. 원본 : http://resources.infosecinstitute.com/websecurify-testing-tool/
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부
월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황
More informationvRealize Automation용 VMware Remote Console - VMware
vrealize Automation 용 VMware Remote Console VMware Remote Console 9.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-002230-00 vrealize Automation
More informationserver name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지
ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,
More informationPowerPoint 프레젠테이션
05 장 CSS3 선택자 1. 선택자개요 2. 기본선택자 3. 속성선택자 4. 후손선택자와자손선택자 5. 반응 / 상태 / 구조선택자 CSS 블록을생성할수있다. 선택자를이해하고적절한선택자를활용할수있다. 1 선택자개요 CSS3 선택자 특정한 HTML 태그를선택할때사용하는기능 선택한태그에원하는스타일이나스크립트적용가능 그림 5-1 CSS 블록 CSS 블록 style
More informationPowerPoint 프레젠테이션
실습문제 Chapter 05 데이터베이스시스템... 오라클로배우는데이터베이스개론과실습 1. 실습문제 1 (5 장심화문제 : 각 3 점 ) 6. [ 마당서점데이터베이스 ] 다음프로그램을 PL/SQL 저장프로시져로작성하고실행해 보시오. (1) ~ (2) 7. [ 마당서점데이터베이스 ] 다음프로그램을 PL/SQL 저장프로시져로작성하고실행해 보시오. (1) ~ (5)
More informationInstall stm32cubemx and st-link utility
STM32CubeMX and ST-LINK Utility for STM32 Development 본문서는 ST Microelectronics 의 ARM Cortex-M 시리즈 Microcontroller 개발을위해제공되는 STM32CubeMX 와 STM32 ST-LINK Utility 프로그램의설치과정을설명합니다. 본문서는 Microsoft Windows 7
More informationF O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아
F O C U S 3 홈페이지를통한악성코드유포및대응방안 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아악성코드유포가용이하다는점때문에해커는최대한많은접속자를악성코드에감염시켜금융정보를탈취하거나, APT공격의전단계로써정보수집을목적으로한다.
More informationMicrosoft PowerPoint - aj-lecture1.ppt [호환 모드]
인터넷과웹서비스 개발환경구성, JSP 기본구조 인터넷과 WWW(World Wide Web) 인터넷은 TCP/IP 기반의네트워크가전세계적으로확대되어하나로연결된 네트워크의네트워크 WWW(World Wide Web) 는인터넷기반의서비스중하나 이름프로토콜포트기능 WWW http 80 웹서비스 524730-1 2019 년봄학기 3/11/2019 박경신 Email SMTP/POP3/IMAP
More informationWeb Scraper in 30 Minutes 강철
Web Scraper in 30 Minutes 강철 발표자 소개 KAIST 전산학과 2015년부터 G사에서 일합니다. 에서 대한민국 정치의 모든 것을 개발하고 있습니다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 스크래퍼/크롤러의 작동 원리를 이해한다. 목표
More informationJAVA Bean & Session - Cookie
JAVA Bean & Session - Cookie [ 우주최강미남 ] 발표내용소개 자바빈 (Java Bean) 자바빈의개요 자바빈의설계규약 JSP 에서자바빈사용하기 자바빈의영역 세션과쿠키 (Session & Cookie) 쿠키의개요 쿠키설정 (HTTP 서블릿 API) 세션의개요 JSP 에서의세션관리 Java Bean Q. 웹사이트를개발한다는것과자바빈?? 웹사이트라는것은크게디자이너와프로그래머가함께개발합니다.
More informationHTML5가 웹 환경에 미치는 영향 고 있어 웹 플랫폼 환경과는 차이가 있다. HTML5는 기존 HTML 기반 웹 브라우저와의 호환성을 유지하면서도, 구조적인 마크업(mark-up) 및 편리한 웹 폼(web form) 기능을 제공하고, 리치웹 애플리케이 션(RIA)을
동 향 제 23 권 5호 통권 504호 HTML5가 웹 환경에 미치는 영향 이 은 민 * 16) 1. 개 요 구글(Google)은 2010년 5월 구글 I/O 개발자 컨퍼런스에서 HTML5를 통해 플러 그인의 사용이 줄어들고 프로그램 다운로드 및 설치가 필요 없는 브라우저 기반 웹 플랫폼 환경이 점차 구현되고 있다고 강조했다. 그리고 애플(Apple)은 2010년
More information76 XSS 하 Huge-IT Slider admin.php XSS
분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) EDB 분석보고서 (05.06) 05.06.0~05.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 05 년 6 월에공개된 Exploit-DB 의분석결과, LFI 공격에대한보고개수가가장많았습니다. LFI 공격은대체적으로공격난이도는낮지만공격이성공했을경우시스템의주요파일들이노출되거나파일다운로드가가능해지기때문에위험도가높은공격으로분류됩니다.
More informationJavascript
1. 이벤트와이벤트핸들러의이해 이벤트 (Event) 는웹브라우저에서발생하는다양한사건을말합니다. 예를들면, 버튼을마우스로을했다거나브라우저를닫았다거나 Enter 키를눌렀다거나등등아주다양한사건들이있습니다. 그렇다면이벤트핸들러 (Event Handler) 는무엇일까요? 이다양한이벤트들을핸들링 ( 처리 ) 해주는것입니다. 예를들면, 어떤버튼을했을때메시지창이뜨게하는등을말합니다.
More information서현수
Introduction to TIZEN SDK UI Builder S-Core 서현수 2015.10.28 CONTENTS TIZEN APP 이란? TIZEN SDK UI Builder 소개 TIZEN APP 개발방법 UI Builder 기능 UI Builder 사용방법 실전, TIZEN APP 개발시작하기 마침 TIZEN APP? TIZEN APP 이란? Mobile,
More information혼자서일을다하는 JSP. 이젠일을 Servlet 과나눠서한다. JSP와서블릿의표현적인차이 - JSP는 <html> 내에서자바를사용할수있는수단을제공한다. - 서블릿은자바내에서 <html> 을작성할수있는수단을제공한다. - JSP나서블릿으로만웹페이지를작성하면자바와다양한코드가
혼자서일을다하는 JSP. 이젠일을 Servlet 과나눠서한다. JSP와서블릿의표현적인차이 - JSP는 내에서자바를사용할수있는수단을제공한다. - 서블릿은자바내에서 을작성할수있는수단을제공한다. - JSP나서블릿으로만웹페이지를작성하면자바와다양한코드가웹페이지내에뒤섞여있어서웹페이지의화면설계가점점어려워진다. - 서블릿이먼저등장하였으나, 자바내에
More information1. SNS Topic 생성여기를클릭하여펼치기... Create Topic 실행 Topic Name, Display name 입력후 Create topic * Topic name : 특수문자는 hyphens( - ), underscores( _ ) 만허용한다. Topi
5 주차 - AWS 실습 - SNS 시나리오 1. SNS Topic 생성 2. 3. 4. 5. Subscriptions 생성및 Confirm [ Email Test ] Message 발송 코드로보기 번외 ) SMS 발송하기 실습준비 HTML 파일, AWS 계정및 secretaccesskey, accesskeyid 간단설명 1. 2. 3. 4. SNS : 이메일,
More informationSKINFOSEC_TECH_005_China Bot_가칭_ 악성코드 분석_v0.3.doc
SKInfosec-Tech-005 China Bot( 가칭 ) 악성코드분석 한상흠, 황교국 (m4gichack@gmail.com, fullc0de@gmail.com) SK Infosec Co., Inc MSS 사업본부침해대응팀 Table of Contents 1. 개요...3 2. MSSQL2005 취약점...4 3. 악성코드분석...7 3.1. 0.js...8
More informationCookie Spoofing.hwp
Cookie Spoofing&Sniffing By Maxoverpro[max]( 장상근) maxoverpro@empal.com http://www.maxoverpro.org 1. 서론 이문서는 Cookie Spoofing 과 Sniffing 에대해정석적인방법을이야기하도록하며또 한어느특정곳의취약점을설명하지않고직접제작한예제를가지고 Cookie Spoofing 과
More informationFileMaker 15 WebDirect 설명서
FileMaker 15 WebDirect 2013-2016 FileMaker, Inc.. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker FileMaker Go FileMaker, Inc.. FileMaker WebDirect FileMaker, Inc... FileMaker.
More informationWEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진
WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진 해킹의 종류 웹해킹 네트워크 해킹 시스템(OS)해킹 웹해킹 기법 SQL INJECTION HTML INJECTION Cross Site Scripting HEADER INJECTION 웹해킹 기법 업로드 취약점 다운로드 취약점 INJECTION 나는 사람입니다. 나는
More informationJSP 의내장객체 response 객체 - response 객체는 JSP 페이지의실행결과를웹프라우저로돌려줄때사용되는객체이다. - 이객체는주로켄텐츠타입이나문자셋등의데이터의부가정보 ( 헤더정보 ) 나쿠키 ( 다음에설명 ) 등을지정할수있다. - 이객체를사용해서출력의방향을다른
JSP 의내장객체 response 객체 - response 객체는 JSP 페이지의실행결과를웹프라우저로돌려줄때사용되는객체이다. - 이객체는주로켄텐츠타입이나문자셋등의데이터의부가정보 ( 헤더정보 ) 나쿠키 ( 다음에설명 ) 등을지정할수있다. - 이객체를사용해서출력의방향을다른 URL로바꿀수있다. 예 ) response.sendredirect("http://www.paran.com");
More informationMicrosoft Word - 제로보드 XE_CSRF증명.doc
제로보드 XE - CSRF 취약점증명 작성자 : eits1st 작성날짜 : 09년 3월 16일 목 차 1. 개요 1) CSRF의정의 2) 제로보드 XE 3) CSRF 테스트환경 2. 취약점증명 1) 권한상승시웹서버로전송되는 Request( 요청 ) 구문확인및추출 2) 확인된 Request( 요청 ) 구문을 AJAX(httpxml) 코드로작성 3) AJAX(httpxml)
More informationPowerPoint Presentation
Class - Property Jo, Heeseung 목차 section 1 클래스의일반구조 section 2 클래스선언 section 3 객체의생성 section 4 멤버변수 4-1 객체변수 4-2 클래스변수 4-3 종단 (final) 변수 4-4 멤버변수접근방법 section 5 멤버변수접근한정자 5-1 public 5-2 private 5-3 한정자없음
More information목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리... 2 2. 공격 기법 및 기본 개념... 3 2.1. Heap Spray... 3 2.2. Font... 4 3. 공 격..
취약점 분석 보고서 [ Adobe Flash Player 11.3 Kern Table Parsing Integer Overflow - CVE-2012-1535 ] 2012-08-23 RedAlert Team 안상환 목 차 1. 개 요... 1 1.1. 배경... 1 1.2. 요약... 1 1.3. 정보... 2 1.4. 대상시스템... 2 1.5. 원리...
More information<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E >
웹프로그래밍및실습 ( g & Practice) 문양세강원대학교 IT 대학컴퓨터과학전공 소켓 (Socket) (1/2) Socket 이란? 서버와클라이언트가서로특정한규약을사용하여데이터를전송하기위한방식 서버와클라이언트는소켓연결을기다렸다가소켓이연결되면서로데이터를전송 현재네트워크상에서의모든통신의근간은 Socket 이라할수있음 Page 2 1 소켓 (Socket) (2/2)
More information