<4D F736F F F696E74202D20B1B3C0B0BBEABEF7C0FCB7ABBCBCB9CCB3AA EB9DABCBAB9CE2E707074>

Size: px
Start display at page:

Download "<4D F736F F F696E74202D20B1B3C0B0BBEABEF7C0FCB7ABBCBCB9CCB3AA EB9DABCBAB9CE2E707074>"

Transcription

1 IBM Software Group 웹애플리케이션보안과 Rational AppScan 2009 IBM Corporation

2 목 차 웹애플리케이션의취약점및보안의필요성 대표적인웹애플리케이션해킹방법 SQL Injection XSS(Cross-Site Scripting) AppScan 소개 AppScan Standard Edition AppScan Developer Edition 요약

3 사이버범죄동향 IBM Software Group Rational software 비즈니스가환경, 고객, 파트너, 직원등에대해개방 (openness) 되어야하며신속 (agile) 함이요구되는동시에안전해야함 사이버범죄시장규모 > 마약시장 (FBI, 2007) 사이버범죄가과시를위한해킹이아니라사업적인성격을띄고있음 해커들의방법이점차진화 피해자의유형이나집중되는분야가급속도로확산 피해자가피해를입었는지도알기어려움 지난몇년간해킹공격이매년2배이상증가 공격이점점더악의적으로변함 조직 / 기업에치명적인공격이조직적으로 설계 되고있음

4 보안의영역및웹애플리케이션 Desktop Transport Network Web Applications Antivirus Protection Encryption (SSL) Firewalls / IDS / IPS 허가된네트워크사용자 http & https Firewall Application Servers Backend Server Web Servers Databases PC 용보안솔루션 AVS, Firewall, IPS, IDS, Spam Prevention, Spyware Remover 등 암호화통신으로정보유출차단 SSL, VPN etc 네트워크보안솔루션 F/W, WAF, IPS, IDS, Virus Wall etc Web Application 보안을위한솔루션은?

5 근본적인문제가빠진방어 IBM Software Group Rational software 기존의정적, 문제대응방식의방법으로는웹애플리케이션을타겟으로행해지는공격을막아낼수없으며, 근본적인문제를해결하는것이중요 Access Control And Firewall IDS/IPS AV Enterprise Infrastructure The Internet DoS Antispoofing Known Web Server Issues Parameter Tampering Cross Site Scripting Web Server Application Server Databases Backend Server/System SSL Port Scanning Pattern- Based Attacks SQL Injection Cookie Poisoning

6 웹애플리케이션의취약성은지속적으로증가 2008 년보고자료 54.9% 의취약성은웹애플리케이션문제 6 개월동안 SQL Injection 공격은 30% 증가 2008 년에발견된웹애플리케이션취약점의 74% 가연말까지해결되지않음

7 웹애플리케이션보안중요성과현실 웹애플리케이션 해커들의 #1 목표 75% 의공격이애플리케이션레이어에대해발생 (Gartner) XSS & SQL Injection이가장많이시도되는두가지공격 (Mitre) 80% 의조직들이2010년에는애플리케이션보안과관련된문제를겪을가능성이있음 (Gartner) 공격빈도 웹애플리케이션 투자 10% 75% 90% 25% 네트워크 / 서버

8 웹애플리케이션보안문제발생시의영향 해커의목표가되는대부분의웹사이트는고객의중요한정보를보유하고있기때문에, 그정보의노출로인한피해는매우클수밖에없음 이에따른피해는 기업의신뢰도하락 고객감소 시장점유율하락 평판에타격 법적책임및이에따른비용 규제및감사비용.. 하룻동안시장에서 USD 200M 하락 자료참조 : Gartner, IDC, Watchfire

9 SQL Injection SQL Injection? 사용자가제공한 의도적인 데이터가명령문이나질의문의일부로포함되어시스템에전송되는것 발생되는문제? SQL injection : 허가되지않은데이터베이스의데이터접근및수정 SSI(Server-Side Includes) injection : 서버상에서명령문을수행하여데이터에접근 LDAP injection 인증과정생략 웹애플리케이션 정보탈취 정보수정 애플리케이션변경 공격목적의 SQL 문 해커

10 SQL Injection 시도방법 IBM Software Group Rational software 애플리케이션탐색을위한시도 에러메시지가해커에게스트링이사용된다는점, DB의종류등에대한정보를제공 SQL 문확인가능 : username = AND password = xxxx username = or 1=1 -- AND password = xxxx

11 Cross-Site Scripting (XSS) XSS? 정상적으로접근한웹페이지에사용자가임의의스크립트를삽입시켜특정정보를취득하는것 발생되는문제 세션토큰의취득 페이지의내용손상 (defacement, 세션 hijacking 등 ) 1. 메일등을통해 bank.com 의링크를보냄 해커 4. 사용자모르게사용자의쿠키와세션정보를전송 5. 해커가훔친정보를이용하여접근 bank.com 2. 사용자가링크에포함된스크립트를보냄 피해자 3. 사용자에의해수행된스크립트에대한결과전송

12 Cross-Site Scripting (XSS) 시도방법 검색텍스트박스에검색어를입력 HTML 문이적용되어진것을확인 검색어에스크립트적용 : 예 ) <script>alert(document.cookie)</script> 정보취득이가능 : URL 정보를메일등으로링크에첨부하여전송

13 Cross-Site Scripting (XSS) 해커가피해자로하여금스크립트를시행시키게할수있다면 피해자가브라우징하고있는도메인에서쿠키정보를취득할수있고, 이도메인에서피해자가보는어떤페이지의내용도수정할수있으며 (defacement) 브라우저에서피해자가수행하는모든행동을추적할수있고, 피싱사이트로유도할수있으며, 브라우저의취약점을악용하여피해자의 PC를제어할수있으며, XSS 가가장악용되는보안문제임

14 AppScan Standard Edition AppScan? 웹애플리케이션의보안점검도구 AppScan이필요한이유 웹애플리케이션의보안문제를보다쉽게발견하고해결하기위해서 AppScan의역할 웹애플리케이션을테스트하고, 보안문제를발견하여이를조치할수있도록문제에관련된다양한정보제공 사용대상자 보안감사자 QA 팀 개발자 1. 애플리케이션스캔 2. 보안상취약성파악 3. 결과분석및권고사항제시

15 AppScan Standard Edition 의동작방식 AppScan의동작방식 웹애플리케이션에대해블랙박스 (black-box) 테스트수행 웹애플리케이션을링크를따라찾아다니며사이트모델생성 보안상의취약점을능동적으로찾음 탐색시점에파악된요청들을해커들이수행할만한요청으로변경하여입력과애플리케이션의로직을테스트 HTTP 요청의결과에근거하여해당애플리케이션이취약한지평가 SQL injection 테스트예 원요청 테스트요청 or 1=1 or = or 1=1 or = -- Web Application HTTP Request HTTP Response

16 스캔구성및수행 IBM Software Group Rational software 스캔을위한정보 어디서, 어떻게, 무엇을 타겟웹애플리케이션 URL 로그인방법및정보 테스트정책 적용룰 / 패턴 링크깊이, 수의제한 스캔제외경로및파일타입등 테스트대상애플리케이션정보수집 시작 URL 부터링크를따라탐색하여웹사이트페이지정보수집 수집된 URL 정보들을애플리케이션트리형태로구체화 스캔 선스캔으로실제스캔이전에권고사항제공 수집된 URL에변조된Request를송신하여스캔수행 각 request에대한응답기록및결과제공

17 스캔분석 보안문제 IBM Software Group Rational software 스캔중발견된문제들에대한포괄적이고자세한정보를제공 단순리스트업이상의정보필요 문제정보 보안권고문 수정안 요청 / 응답

18 스캔분석 조치작업 IBM Software Group Rational software 스캔에서발견된문제들을위해디자인된솔루션제공 애플리케이션이현재가지고있는문제를어떻게해결해야할지에대한정보 조치작업별로적용할수있는문제들리스트업 ( 비개발자인 ) 보안담당자입장에서 ( 비보안전문가인 ) 개발자들과보다정확하게소통가능

19 스캔분석 애플리케이션데이터 테스트수행중웹애플리케이션에서발견된내용의리스트 요청 / 응답정보 브라우저보기기능 수동테스트기능 요청을수정하여원하는내용의테스트수행가능 사용자가패러미터값제공, 자동폼내용채우기기능해제등을통해추가적인테스트가능

20 리포트 테스트분석후조직내의다양한팀원들과결과를공유할수있는여러관점의리포트제공 보안보고서 기본보고서 산업표준 (OWASP, ISO, Visa 등 ) 규정준수 ( 일본, 유럽, 미국등의규정 ) 델타분석 스캔비교 템플리트기반 사용자정의리포트 발생된문제, 빈도등에대한정보포함 규정준수보고템플릿 OWASP Top 10 보고서일부의예

21 개발공정주기단계별문제해결비용 공정후기에발견된문제일수록이를해결하는데더많은비용과시간소요 Early Test의필요성 개발단계에서개발자에의해코드상에서발견할수있는문제들을찾아해결할수있다면 $7,600/defect $960/defect $80/defect 요구사항분석단계 $240/defect 디자인 / 구현단계 QA/ 테스트단계 출시후

22 코드에서발견될수있는보안문제들 Source : 문제가있는문자열을리턴하는메소드 Sink : 보안문제가발생할소지가있는메소드 Sanitize : 문자열의잠재적인문제를해결하는메소드 protected protected void void doget( doget( HttpServletRequest HttpServletRequestreq, req, HttpServletResponse HttpServletResponseresp) resp) throws throws IOException IOException {{ Source String String str str = req.getparameter( searchvalue"); PrintWriter PrintWriterwriter = resp.getwriter(); resp.getwriter(); Sink writer.println(str); writer.println(str); }} Source String String username username = request.getparameter( username ); String String query query = SELECT SELECT** from from tusers tuserswhere + Sanitize userid= userid= + Sanitize(username) Sanitize(username) + + AND AND password= password= + Sanitize(password) Sanitize(password) + ; ; Sink ResultSet ResultSetrs rs = stmt.executequery(query); XSS 예 SQL Injection 예

23 Rational AppScan Developer Edition Developer Edition? 보안취약점들을찾아내기위해서정적코드분석 (Java) 을사용하여보안과규제준수를체크함 ( 보안전문가가아닌 ) 개발자들이개발프로세스의앞단계에서코드상의보안결점들을처리할수있도록하여, 이슈가처리되는비용을최소화시켜줌 주요기능 보안감사자가아닌개발자를위한 Self-Serve 보안테스팅제품 개발자들이사용하기용이함 Eclipse 기반 White box / Black box / Run time 분석 Developer Edition 은모든보안이슈들을찾는것이목적이아니라, 찾기쉬운이슈들을개발초기단계에서빠르고정확하게알아내기위함 (100%... 가아님 ) 초반에문제점을찾아해결 보다복잡한문제에집중

24 RASDE - 사용되는분석기술들 정적코드분석 화이트박스 코드를살펴서이슈들을찾음 ( 코드레벨스캐닝 ) 동적분석 블랙박스 동작하는애플리케이션으로테스트할정보를보내테스트 ( 매뉴얼수행 ) String Analysis 런타임분석 Black box 테스트가수행되는동안메쏘드호출을추적하여이정보를해당 black box 이슈와연관시켜분석가능 AppScan 이동적분석을수행하는동안애플리케이션이어떤작업을수행했는지이해하는데도움이됨 -IBM 특허출원중인코드분석기술 - 정확한결과를위해스캔을효과적으로구성하게해주는, Scan Expert 기능의코드분석용버전

25 요약 웹응용프로그램에는근본적인취약성이존재하고그에따른피해는심각 보안피해는 소잃고외양간고치는 꼴이므로현실적으로가시화되고있는피해에대하여적극적으로대처해야함 For Security Team 고객고충 보안담당자가웹애플리케이션테스팅도구를이용하여테스트수행 보안팀의노력만으로전체공정에서발생되는보안문제를해결하기에는인력이부족하며, 효과적인문제해결을하기어려움 고객이얻는가치 웹애플리케이션보안테스팅솔루션인AppScan Portfolio는개발자등소프트웨어개발관계자들이보안테스팅의책임을공유해서보안팀의리소스제한을경감시켜줌 For Development 고객고충 개발단계에서발견하여해결할수있는문제들이적절한인력과솔루션의부재로적시에발견되지못함 이에따라개발공정후반에발견된문제를해결하는데많은비용과시간이소요되어비능률적 고객이얻는가치 Dev Edition은개발단계에서보안비전문가도테스팅을할수있도록하는보안테스팅솔루션임 개발프로세스에서보다일찍보안이슈들을발견하고조치하도록하여, 프로세스를능률적으로만들고, 프로젝트가제시간에완료될수있도록해줌

26 감사합니다

<4D F736F F F696E74202D D53444C43B0FCC1A1BFA1BCAD20BABB20C0A5BED6C7C3B8AEC4C9C0CCBCC7BAB8BEC82DB9DABCBAB9CEC2F7C0E52D303

<4D F736F F F696E74202D D53444C43B0FCC1A1BFA1BCAD20BABB20C0A5BED6C7C3B8AEC4C9C0CCBCC7BAB8BEC82DB9DABCBAB9CEC2F7C0E52D303 IBM Software Group 개발라이프사이클관점의웹애플리케이션보안 2011/05/18 한국 IBM 박성민차장 2011 IBM Corporation 목 차 웹애플리케이션보안동향 웹애플리케이션보안이중요한이유및피해사례 웹취약점예 : SQL Injection 개발라이프사이클관점의보안 보안담당자 : Black Box 테스트를통한취약성발견 AppScan Standard

More information

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770> 개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000

More information

Observational Determinism for Concurrent Program Security

Observational Determinism for  Concurrent Program Security 웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구

More information

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2 SDN DDoS (whchoi@cisco.com) Cisco Systems Korea 2008 Cisco Systems, Inc. All rights reserved. 1 Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2 Cisco SDN 3.0

More information

슬라이드 1

슬라이드 1 IBM 웹애플리케이션보안솔루션 - AppScan 12015 IBM Corporation 2014 IBM Corporation 목차 IBM 보안 Framework Application Security 솔루션 AppScan Enterprise Edition AppScan Standard Edition AppScan Source Edition AppScan Cloud

More information

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc 분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.

More information

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F31C2F7BDC32E >

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F31C2F7BDC32E > Chapter 8 데이터베이스응용개발 목차 사용자인터페이스와도구들 웹인터페이스와데이터베이스 웹기초 Servlet 과 JSP 대규모웹응용개발 ASP.Net 8 장. 데이터베이스응용개발 (Page 1) 1. 사용자인터페이스와도구들 대부분의데이터베이스사용자들은 SQL을사용하지않음 응용프로그램 : 사용자와데이터베이스를연결 데이터베이스응용의구조 Front-end Middle

More information

I T C o t e n s P r o v i d e r h t t p : / / w w w. h a n b i t b o o k. c o. k r

I T C o t e n s P r o v i d e r h t t p : / / w w w. h a n b i t b o o k. c o. k r I T C o t e n s P r o v i d e r h t t p : / / w w w. h a n b i t b o o k. c o. k r I T C o t e n s P r o v i d e r h t t p : / / w w w. h a n b i t b o o k. c o. k r Jakarta is a Project of the Apache

More information

혼자서일을다하는 JSP. 이젠일을 Servlet 과나눠서한다. JSP와서블릿의표현적인차이 - JSP는 <html> 내에서자바를사용할수있는수단을제공한다. - 서블릿은자바내에서 <html> 을작성할수있는수단을제공한다. - JSP나서블릿으로만웹페이지를작성하면자바와다양한코드가

혼자서일을다하는 JSP. 이젠일을 Servlet 과나눠서한다. JSP와서블릿의표현적인차이 - JSP는 <html> 내에서자바를사용할수있는수단을제공한다. - 서블릿은자바내에서 <html> 을작성할수있는수단을제공한다. - JSP나서블릿으로만웹페이지를작성하면자바와다양한코드가 혼자서일을다하는 JSP. 이젠일을 Servlet 과나눠서한다. JSP와서블릿의표현적인차이 - JSP는 내에서자바를사용할수있는수단을제공한다. - 서블릿은자바내에서 을작성할수있는수단을제공한다. - JSP나서블릿으로만웹페이지를작성하면자바와다양한코드가웹페이지내에뒤섞여있어서웹페이지의화면설계가점점어려워진다. - 서블릿이먼저등장하였으나, 자바내에

More information

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port

More information

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š 솔루션 2006 454 2006 455 2006 456 2006 457 2006 458 2006 459 2006 460 솔루션 2006 462 2006 463 2006 464 2006 465 2006 466 솔루션 2006 468 2006 469 2006 470 2006 471 2006 472 2006 473 2006 474 2006 475 2006 476

More information

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시 네트워크 보안도 안철수연구소입니다 통합 보안의 No.1 파트너, AhnLab TrusGuard 네트워크 환경을 수호하는 최고의 통합 보안 시스템 고성능 방화벽ㆍVPN Security 기술과 고품질 Integrated Security 기술의 강력한 결합 네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간

More information

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher( 실행할페이지.jsp); 다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher

More information

J2EE Concepts

J2EE Concepts ! Introduction to J2EE (1) - J2EE Servlet/JSP/JDBC iseminar.. 1544-3355 ( ) iseminar Chat. 1 Who Are We? Business Solutions Consultant Oracle Application Server 10g Business Solutions Consultant Oracle10g

More information

제목 레이아웃

제목 레이아웃 웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya

More information

14-Servlet

14-Servlet JAVA Programming Language Servlet (GenericServlet) HTTP (HttpServlet) 2 (1)? CGI 3 (2) http://jakarta.apache.org JSDK(Java Servlet Development Kit) 4 (3) CGI CGI(Common Gateway Interface) /,,, Client Server

More information

Network seminar.key

Network seminar.key Intro to Network .. 2 4 ( ) ( ). ?!? ~! This is ~ ( ) /,,,???? TCP/IP Application Layer Transfer Layer Internet Layer Data Link Layer Physical Layer OSI 7 TCP/IP Application Layer Transfer Layer 3 4 Network

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

Microsoft Word - CrossSiteScripting[XSS].docx

Microsoft Word - CrossSiteScripting[XSS].docx 1 Education Giehong.E goodbyestar@nate.com abstract - 영리를목적으로한곳에서의불법적인배포는금지합니다. - 문서의내용은임의의가상테스트를대상으로한 OWASP10 의기본적인내용들이며교육을위해만들어진문서입니다. - 비인가받은악의적인행동은불법이며법적책임또한당사자에게있습니다 Copyright@2008 All Rights Reserved

More information

5th-KOR-SANGFOR NGAF(CC)

5th-KOR-SANGFOR NGAF(CC) NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는

More information

PowerPoint Presentation

PowerPoint Presentation Oracle9i Application Server Enterprise Portal Senior Consultant Application Server Technology Enterprise Portal? ERP Mail Communi ty Starting Point CRM EP BSC HR KMS E- Procurem ent ? Page Assembly Portal

More information

슬라이드 1

슬라이드 1 - 감리툴종류 - 1. Linkbot 6.0 2. Allfusion Data Model Validator 3. Orange for Oracle DBA 3.1.4 4. SuperScan 4.0 5. Acunetix Web Vulnerability Scanner 3.0 6. GFI LANguard N.S.S 7.0 7. AppScan 6.5 2008. 04. 04.

More information

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770> i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,

More information

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. 기술문서 14. 11. 10. 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 dokymania@naver.com I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라. Exploit 5 마. 피해 6 III. 결론 6 가. 권고사항 6 I. 소개 가. 역자 본문서는

More information

Inside Android Applications

Inside Android Applications WEBSECURIFY WALKTHROUGH 웹 응용프로그램 침투 테스팅 도구 번역 문서 www.boanproject.com 번역 : 임효영 편집 : 조정원 해당 문서는 연구목적으로 진행된 번역 프로젝트입니다. 상업적으로 사용을 하거나, 악의적인 목적에 의한 사용을 할 시 발생하는 법적인 책임은 사용자 자신에게 있음을 경고합니다. 원본 : http://resources.infosecinstitute.com/websecurify-testing-tool/

More information

게시판 스팸 실시간 차단 시스템

게시판 스팸 실시간 차단 시스템 오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP

More information

Security Overview

Security Overview May. 14, 2004 Background Security Issue & Management Scope of Security Security Incident Security Organization Security Level Security Investment Security Roadmap Security Process Security Architecture

More information

2장 변수와 프로시저 작성하기

2장  변수와 프로시저 작성하기 Chapter. RequestDispatcher 활용 요청재지정이란? RequestDispatcher 활용 요청재지정구현예제 Chapter.9 : RequestDispatcher 활용 1. 요청재지정이란? 클라이언트로부터요청받은 Servlet 프로그램이응답을하지않고다른자원에수행흐름을넘겨다른자원의처리결과를대신응답하는것또는다른자원의수행결과를포함하여응답하는것을요청재지정이라고한다.

More information

UDP Flooding Attack 공격과 방어

UDP Flooding Attack 공격과 방어 황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5

More information

PowerPoint Presentation

PowerPoint Presentation 오에스아이소프트코리아세미나세미나 2012 Copyright Copyright 2012 OSIsoft, 2012 OSIsoft, LLC. LLC. PI Coresight and Mobility Presented by Daniel Kim REGIONAL 세미나 SEMINAR 세미나 2012 2012 2 Copyright Copyright 2012 OSIsoft,

More information

SK IoT IoT SK IoT onem2m OIC IoT onem2m LG IoT SK IoT KAIST NCSoft Yo Studio tidev kr 5 SK IoT DMB SK IoT A M LG SDS 6 OS API 7 ios API API BaaS Backend as a Service IoT IoT ThingPlug SK IoT SK M2M M2M

More information

Cache_cny.ppt [읽기 전용]

Cache_cny.ppt [읽기 전용] Application Server iplatform Oracle9 A P P L I C A T I O N S E R V E R i Improving Performance and Scalability with Oracle9iAS Cache Oracle9i Application Server Cache... Oracle9i Application Server Web

More information

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름 EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection

More information

ìœ€íŁ´IP( _0219).xlsx

ìœ€íŁ´IP( _0219).xlsx 차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer

More information

웹사이트 운영, 이보다 쉬울 수 없다! Microsoft Azure를 이용한 웹사이트 구축

웹사이트 운영, 이보다 쉬울 수 없다!  Microsoft Azure를  이용한 웹사이트 구축 2014 년 4 월 IaaS 는기본, PaaS 로도약. Microsoft Azure! Session 1 웹사이트운영, 이보다쉬울수없다! Microsoft Azure 를이용한웹사이트의구축 - 한국마이크로소프트이건복이사 목차 Azure Web Sites의정의아키텍처구성규모조정 / 배포 / 디버깅 / Web Jobs About Me? 이건복 kblee@microsoft.com

More information

Portal_9iAS.ppt [읽기 전용]

Portal_9iAS.ppt [읽기 전용] Application Server iplatform Oracle9 A P P L I C A T I O N S E R V E R i Oracle9i Application Server e-business Portal Client Database Server e-business Portals B2C, B2B, B2E, WebsiteX B2Me GUI ID B2C

More information

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc Asp Mssql Sql Injection Tool 분석보고서 이재곤 (x0saver@gmail.com) SK Infosec Co., Inc MSS 사업본부 / 침해대응센터모의해킹파트 Table of Contents 1. 개요... 3 2. 구성... 3 3. 분석... 4 3.1. 기능분석... 4 4. 공격원리...14 4.1 기본공격원리...14 4.2

More information

Chap7.PDF

Chap7.PDF Chapter 7 The SUN Intranet Data Warehouse: Architecture and Tools All rights reserved 1 Intranet Data Warehouse : Distributed Networking Computing Peer-to-peer Peer-to-peer:,. C/S Microsoft ActiveX DCOM(Distributed

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Synergy EDMS www.comtrue.com opyright 2001 ComTrue Technologies. All right reserved. - 1 opyright 2001 ComTrue Technologies. All right reserved. - 2 opyright 2001 ComTrue Technologies. All right reserved.

More information

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments

More information

new Spinbackup ICO White Paper(ko)

new Spinbackup ICO White Paper(ko) 1.... 4 2.... 4 3. ICO... 5 4.... 7 4.1... 7 4.2... 8 4.3... 10 4.4?... 11 4.6... 12 5. SAAS... 13 5.1 (SINGLE SIGN ON)... 13 5.1.1... 14 5.1.2... 15 5.1.3 (Google)... 15 5.1.4... 16 5.1.5 (Spinbackup)...

More information

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷 인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS

More information

Analyst Briefing

Analyst Briefing . Improve your Outlook on Email and File Management iseminar.. 1544(or 6677)-3355 800x600. iseminar Chat... Improve your Outlook on Email and File Management :, 2003 1 29.. Collaboration Suite - Key Messages

More information

mytalk

mytalk 한국정보보호학회소프트웨어보안연구회 총괄책임자 취약점분석팀 안준선 ( 항공대 ) 도경구 ( 한양대 ) 도구개발팀도경구 ( 한양대 ) 시큐어코딩팀 오세만 ( 동국대 ) 전체적인 그림 IL Rules Flowgraph Generator Flowgraph Analyzer 흐름그래프 생성기 흐름그래프 분석기 O parser 중간언어 O 파서 RDL

More information

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E >

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E > 6. ASP.NET ASP.NET 소개 ASP.NET 페이지및응용프로그램구조 Server Controls 데이터베이스와연동 8 장. 데이터베이스응용개발 (Page 20) 6.1 ASP.NET 소개 ASP.NET 동적웹응용프로그램을개발하기위한 MS 의웹기술 현재 ASP.NET 4.5까지출시.Net Framework 4.5 에포함 Visual Studio 2012

More information

Microsoft PowerPoint - file

Microsoft PowerPoint - file SW 보안약점소개 SIGPL Workshop, KCC2013 2013. 6. 28 한국항공대학교안준선 목차 시큐어코딩, 보안약점, 보안취약점 SW 보안약점의유형 입력데이터검증및표현 (Input Validation and Representation) API 오용 (API Abuse) 보안기능 (Security Features) 시간및상태 (Time and State)

More information

로거 자료실

로거 자료실 redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...

More information

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack FastTrack 1 Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack 5 11 2 FASTTRACK 소개 디지털 혁신은 여기서 시작합니다. Microsoft FastTrack은 Microsoft 클라우드를 사용하여 고객이 신속하게 비즈니스 가치를 실현하도록 돕는 고객 성공 서비스입니다.

More information

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse

More information

레이아웃 1

레이아웃 1 소프트웨어취약점분석솔루션 HPE Fortify NOW 보안취약점은 하드웨어, 네트워크, 소프트웨어등모든수준의기업인프라에영향을미칠수있는보안위협의원천이되는프로그램상의약점입니다. 이러한보안취약점은악의적인사용자가보안기능을피해데이터를훔치거나변경하고, 엑세스를거부하고, 중요한비즈니스프로세스를손상시키는수단으로사용됩니다. 1 보안취약점의증가 2012년에보고된새로운보안취약점은총

More information

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com Content 1. SSL Strip - SSL? - SSL MITM - SSL Strip 2. SSL Strip 공격 3. 대응방법 Copyright@2012 All Rights Reserved by SemiDntmd 2 1. SSL Strip 1-1

More information

JavaGeneralProgramming.PDF

JavaGeneralProgramming.PDF , Java General Programming from Yongwoo s Park 1 , Java General Programming from Yongwoo s Park 2 , Java General Programming from Yongwoo s Park 3 < 1> (Java) ( 95/98/NT,, ) API , Java General Programming

More information

Microsoft PowerPoint - AUTOMATING BESPOKE ATTACKS.pptx

Microsoft PowerPoint - AUTOMATING BESPOKE ATTACKS.pptx AUTOMATING BESPOKE ATTACKS ENUMERATING VALID IDENTIFIERS 2010. 6. 9. 조소희 차례 유효한식별자나열하기 유효한식별자나열을통한맞춤자동공격법 유효한식별자탐지 스크립트를이용한공격 JAttack 공격 1: 식별자나열하기 유효한식별자나열하기 이름 / 식별자를부분혹은전부알아내서공격에이용 로그인기능이유용한정보를담은메시지를넘겨주는경우

More information

Backup Exec

Backup Exec (sjin.kim@veritas.com) www.veritas veritas.co..co.kr ? 24 X 7 X 365 Global Data Access.. 100% Storage Used Terabytes 9 8 7 6 5 4 3 2 1 0 2000 2001 2002 2003 IDC (TB) 93%. 199693,000 TB 2000831,000 TB.

More information

Microsoft PowerPoint - Supplement-03-TCP Programming.ppt [호환 모드]

Microsoft PowerPoint - Supplement-03-TCP Programming.ppt [호환 모드] - Socket Programming in Java - 목차 소켓소개 자바에서의 TCP 프로그램작성방법 주요클래스와메소드 HTTP 프로토콜을이용한예제 에코프로그램 Q/A 에코프로그램 - EchoServer 에코프로그램 - EchoClient TCP Programming 1 소켓소개 IP, Port, and Socket 포트 (Port): 전송계층에서통신을수행하는응용프로그램을찾기위한주소

More information

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현 02 Web Application Hosting in the AWS Cloud www.wisen.co.kr Wisely Combine the Network platforms Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인

More information

<4D F736F F F696E74202D20315FB9DAC7FCB1D920BACEC0E55FC0CEBCE2BFEB2E707074>

<4D F736F F F696E74202D20315FB9DAC7FCB1D920BACEC0E55FC0CEBCE2BFEB2E707074> 2014 년 5 월 20 일 2014 년최신보안동향분석및보안인텔리전스대응방안 박형근전문위원, 보안사업부, SWG 2014 IBM Corporation IBM 보안역량 Security Operations Centers Security Research and Development Labs v13-01 Institute for Advanced Security Branches

More information

Assign an IP Address and Access the Video Stream - Installation Guide

Assign an IP Address and Access the Video Stream - Installation Guide 설치 안내서 IP 주소 할당 및 비디오 스트림에 액세스 책임 본 문서는 최대한 주의를 기울여 작성되었습니다. 잘못되거나 누락된 정보가 있는 경우 엑시스 지사로 알려 주시기 바랍니다. Axis Communications AB는 기술적 또는 인쇄상의 오류에 대해 책 임을 지지 않으며 사전 통지 없이 제품 및 설명서를 변경할 수 있습니다. Axis Communications

More information

<C0FCC0DAC1A4BACEBCADBAF1BDBA20BAB8BEC8BCF6C1D820B0B3BCB1B4EBC3A52E687770>

<C0FCC0DAC1A4BACEBCADBAF1BDBA20BAB8BEC8BCF6C1D820B0B3BCB1B4EBC3A52E687770> 제 장 전자정부서비스 보안수준 실태조사 배경 제1 절 제2 절 제3 절 전자정부서비스 사이버위협 현황 전자정부서비스 보안사고 실태 전자정부서비스 보안수준 실태조사 배경 전자정부서비스 사이버위협 현황 전자정부서비스의 수준 2007년 UN 보고서에 의하면 한국은 전자정부 평가수준 중 최고수준인 5단계 (Networked) 에 근접하여 세계 5위의 전자정부로 평가받고

More information

Microsoft PowerPoint - 03-TCP Programming.ppt

Microsoft PowerPoint - 03-TCP Programming.ppt Chapter 3. - Socket in Java - 목차 소켓소개 자바에서의 프로그램작성방법 주요클래스와메소드 HTTP 프로토콜을이용한예제 에코프로그램 에코프로그램 - EchoServer 에코프로그램 - EchoClient Q/A 1 1 소켓소개 IP,, and Socket 포트 (): 전송계층에서통신을수행하는응용프로그램을찾기위한주소 소켓 (Socket):

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Page 1 Page 2 Page 3 Page 4 Page 5 Page 6 Page 7 Internet Page 8 Page 9 Page 10 Page 11 Page 12 1 / ( ) ( ) / ( ) 2 3 4 / ( ) / ( ) ( ) ( ) 5 / / / / / Page 13 Page 14 Page 15 Page 16 Page 17 Page 18 Page

More information

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다. 개인정보 오남용 유출 2차 피해 최소화 방안 최종보고서 수행기관 : 숭실대학교 산학협력단 2015. 10. 요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는

More information

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 2012.11.23 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Document Distribution Copy Number Name(Role, Title) Date

More information

WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진

WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진 WEB Hacking 한국디지털미디어고등학교, T eampur e, JT JSOFT 장태 진 해킹의 종류 웹해킹 네트워크 해킹 시스템(OS)해킹 웹해킹 기법 SQL INJECTION HTML INJECTION Cross Site Scripting HEADER INJECTION 웹해킹 기법 업로드 취약점 다운로드 취약점 INJECTION 나는 사람입니다. 나는

More information

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint - chap01-C언어개요.pptx #include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

[Brochure] KOR_TunA

[Brochure] KOR_TunA LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /

More information

[11년 정책연구용역]대중소기업 공동보안체계 연구_최종본_제출용_ hwp

[11년 정책연구용역]대중소기업 공동보안체계 연구_최종본_제출용_ hwp 산업기술보호를위한대 중소기업 공동보안체계구축연구 - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 - - 20 - - 21 - - 22 - - 23 - - 24

More information

<param-value> 파라미터의값 </param-value> </init-param> </servlet> <servlet-mapping> <url-pattern>/ 매핑문자열 </url-pattern> </servlet-mapping> - 위의예에서 ServletC

<param-value> 파라미터의값 </param-value> </init-param> </servlet> <servlet-mapping> <url-pattern>/ 매핑문자열 </url-pattern> </servlet-mapping> - 위의예에서 ServletC 내장객체의정리 헷갈리는내장객체들정리하기 - 컨테이너안에서는수많은객체들이스스로의존재목적에따라서일을한다. - ServletContext, ServletConfig 객체는컨텍스트초기화와서블릿초기화정보를가지고있다. - 이외에도다음의객체들이서블릿과 JSP와 EL에서각각의역할을수행한다. 서블릿의객체 JspWriter HttpServletRequest HttpServletResponse

More information

TTA Journal No.157_서체변경.indd

TTA Journal No.157_서체변경.indd 표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH

More information

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대 Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이

More information

2007 상반기 실적회의 - DRM Extension

2007 상반기 실적회의 - DRM Extension Secure Coding 을위한 Semantic 분석엔진 SPARROW SCE PA 사업부개발 2 팀장 정영범박사 사이버해킹 55 억 보안취약점 75% 보안약점의조기제거 30 배 Secure Coding Mandatory 2012.12 40억이상 2014. 20억이상 2015. 감리대상사업전체 행정기관 제안요청서에 SW 개발보안적용명시 계약시 SW개발보안을위한적절한개발절차및진단도구사용여부확인

More information

Microsoft PowerPoint - CSharp-10-예외처리

Microsoft PowerPoint - CSharp-10-예외처리 10 장. 예외처리 예외처리개념 예외처리구문 사용자정의예외클래스와예외전파 순천향대학교컴퓨터학부이상정 1 예외처리개념 순천향대학교컴퓨터학부이상정 2 예외처리 오류 컴파일타임오류 (Compile-Time Error) 구문오류이기때문에컴파일러의구문오류메시지에의해쉽게교정 런타임오류 (Run-Time Error) 디버깅의절차를거치지않으면잡기어려운심각한오류 시스템에심각한문제를줄수도있다.

More information

J2EE & Web Services iSeminar

J2EE & Web Services iSeminar 9iAS :, 2002 8 21 OC4J Oracle J2EE (ECperf) JDeveloper : OLTP : Oracle : SMS (Short Message Service) Collaboration Suite Platform Email Developer Suite Portal Java BI XML Forms Reports Collaboration Suite

More information

Microsoft PowerPoint 웹 연동 기술.pptx

Microsoft PowerPoint 웹 연동 기술.pptx 웹프로그래밍및실습 ( g & Practice) 문양세강원대학교 IT 대학컴퓨터과학전공 URL 분석 (1/2) URL (Uniform Resource Locator) 프로토콜, 호스트, 포트, 경로, 비밀번호, User 등의정보를포함 예. http://kim:3759@www.hostname.com:80/doc/index.html URL 을속성별로분리하고자할경우

More information

웹서버보안취약점대응및조치 교육사이버안전센터

웹서버보안취약점대응및조치 교육사이버안전센터 웹서버보안취약점대응및조치 2010. 5. 교육사이버안전센터 목차 Ⅰ 웹보안개요 Ⅱ Ⅲ Ⅳ 최신기술동향주요해킹기술및대응방안취약점사고사례 Ⅴ 참고자료 Ⅰ 웹보안개요 I. 웹보안개요 1. 웹구조의이해 URL: 프로토콜 :// 호스트명 [: 포트번호 ]/[ 경로 /] 파일명 [?Param= 값 ] HTTP: // www.ecsc.go.kr / Login.jsp? User=name

More information

뇌를 자극하는 JSP & Servlet 슬라이드

뇌를 자극하는 JSP & Servlet 슬라이드 속성 & 리스너 JSP & Servlet 2/39 Contents 학습목표 클라이언트요청에의해서블릿이실행될때에컨테이너에의해제공되는내장객체의종류와역할, 그리고접근범위특성등을알아본다. 웹컴포넌트사이의데이터전달을위한내장객체에서의속성설정과이에따른이벤트처리방법에대해알아본다. 내용 서블릿의초기화환경을표현하는 ServletConfig 객체 웹애플리케이션의실행환경을표현하는

More information

歯이시홍).PDF

歯이시홍).PDF cwseo@netsgo.com Si-Hong Lee duckling@sktelecom.com SK Telecom Platform - 1 - 1. Digital AMPS CDMA (IS-95 A/B) CDMA (cdma2000-1x) IMT-2000 (IS-95 C) ( ) ( ) ( ) ( ) - 2 - 2. QoS Market QoS Coverage C/D

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

Data Provisioning Services for mobile clients

Data Provisioning Services for mobile clients 4 장. JSP 의구성요소와스크립팅요소 제 4 장 스크립팅요소 (Scripting Element) 1) 지시문 (Directive) 1. JSP 구성요소소개 JSP 엔진및컨테이너, 즉 Tomcat 에게현재의 JSP 페이지처리와관련된정보를전달하는목적으로활용 (6 장 )

More information

뇌를 자극하는 JSP & Servlet 슬라이드

뇌를 자극하는 JSP & Servlet 슬라이드 서블릿의라이프사이클 JSP & Servlet 2/39 Contents 학습목표 서블릿클래스로부터서블릿객체가만들어지고, 서블릿객체가초기화되어서서블릿이되고, 서블릿이사용되고, 최종적으로소멸되기까지의전과정을서블릿의라이프사이클이라고한다. 이장에서는서브릿의라이프사이클에관련된프로그래밍기술을배워보자. 내용 서블릿의라이프사이클 서블릿클래스의 init 메서드의 destroy

More information

뇌를 자극하는 JSP & Servlet 슬라이드

뇌를 자극하는 JSP & Servlet 슬라이드 쿠키와세션 JSP & Servlet 2/51 Contents 학습목표 셋이상의화면으로구성된웹애플리케이션을작성할때에는 JSP 페이지나서블릿클래스들이서로데이터를주고받도록만들어야할필요가있다. 이장에서는이럴때필요한쿠키와세션기술에대해알아보자. 내용 쿠키와세션 쿠키기술 세션기술 / HttpSession 3/50 1. 쿠키와세션 (1) 세션 (Session) - 정의 클라이언트의연속적인요청또는그요청에대한서비스기간

More information

AhnLab_template

AhnLab_template 해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web

More information

3 Security Leader, WINS Te ch n e t 1 5 1 6 1 7 1 8 1 9 1 S O W T 10 Security Leader, WINS Te ch n e t 2 12 2 ISA IPS IDS ESM 13 2 14 2 15 Security Leader, WINS Te ch n e t 3 17 3 18 3 19 3 20 3 21 3 22

More information

Microsoft PowerPoint - 웹프로그래밍_ ppt [호환 모드]

Microsoft PowerPoint - 웹프로그래밍_ ppt [호환 모드] 목차 웹프로그래밍 내장객체의개요 내장객체의종류 11 주차 7 장 JSP 페이지의내장객체와영역 2 내장객체 (Implicit Object) JSP 페이지에서제공하는특수한레퍼런스타입의변수사용하고자하는변수와메소드에접근선언과객체생성없이사용할수있음 내장객체 내장객체 request response out session application pagecontext page

More information

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환 취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

Intro to Servlet, EJB, JSP, WS

Intro to Servlet, EJB, JSP, WS ! Introduction to J2EE (2) - EJB, Web Services J2EE iseminar.. 1544-3355 ( ) iseminar Chat. 1 Who Are We? Business Solutions Consultant Oracle Application Server 10g Business Solutions Consultant Oracle10g

More information

초보자를 위한 ADO 21일 완성

초보자를 위한 ADO 21일 완성 ADO 21, 21 Sams Teach Yourself ADO 2.5 in 21 Days., 21., 2 1 ADO., ADO.? ADO 21 (VB, VBA, VB ), ADO. 3 (Week). 1, 2, COM+ 3.. HTML,. 3 (week), ADO. 24 1 - ADO OLE DB SQL, UDA(Universal Data Access) ADO.,,

More information

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API WAC 2.0 & Hybrid Web App 권정혁 ( @xguru ) 1 HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API Mobile Web App needs Device APIs Camera Filesystem Acclerometer Web Browser Contacts Messaging

More information

untitled

untitled 3 IBM WebSphere User Conference ESB (e-mail : ljm@kr.ibm.com) Infrastructure Solution, IGS 2005. 9.13 ESB 를통한어플리케이션통합구축 2 IT 40%. IT,,.,, (Real Time Enterprise), End to End Access Processes bounded by

More information

서블릿의라이프사이클 뇌를자극하는 JSP & Servlet

서블릿의라이프사이클 뇌를자극하는 JSP & Servlet 서블릿의라이프사이클 뇌를자극하는 JSP & Servlet Contents v 학습목표 서블릿클래스로부터서블릿객체가만들어지고, 서블릿객체가초기화되어서서블릿이되고, 서블릿이사용되고, 최종적으로소멸되기까지의전과정을서블릿의라이프사이클이라고한다. 이장에서는서브릿의라이프사이클에관련된프로그래밍기술을배워보자. v 내용 서블릿의라이프사이클 서블릿클래스의 init 메서드의 destroy

More information

Microsoft PowerPoint - 6.pptx

Microsoft PowerPoint - 6.pptx DB 암호화업데이트 2011. 3. 15 KIM SUNGJIN ( 주 ) 비에이솔루션즈 1 IBM iseries 암호화구현방안 목차 목 차 정부시책및방향 제정안특이사항 기술적보호조치기준고시 암호화구현방안 암호화적용구조 DB 암호화 Performance Test 결과 암호화적용구조제안 [ 하이브리드방식 ] 2 IBM iseries 암호화구현방안 정부시책및방향

More information

Spring Boot

Spring Boot 스프링부트 (Spring Boot) 1. 스프링부트 (Spring Boot)... 2 1-1. Spring Boot 소개... 2 1-2. Spring Boot & Maven... 2 1-3. Spring Boot & Gradle... 3 1-4. Writing the code(spring Boot main)... 4 1-5. Writing the code(commandlinerunner)...

More information

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

페이지 2 / 9 목차 개요웹취약점분류점검결과해결방안 주의사항 : 빛스캔 ( 주 ) 의취약성검사가대상웹사이트의취약점을 100% 진단하지못할가능성이있으며, 원격에서탐지 하는점검의특성상오탐지 (False Positive) 할가능성이있으므로충분한검토과정

페이지 2 / 9 목차 개요웹취약점분류점검결과해결방안 주의사항 : 빛스캔 ( 주 ) 의취약성검사가대상웹사이트의취약점을 100% 진단하지못할가능성이있으며, 원격에서탐지 하는점검의특성상오탐지 (False Positive) 할가능성이있으므로충분한검토과정 페이지 1 / 9 https://scan.bitscan.co.kr -BMT version 웹취약점점검보고서 점검대상 : testasp.vulnweb.com 주의 : 점검대상웹서버보안에관련된중요한정보를포함하고있습니다. 빛스캔 ( 주 ) https://scan.bitscan.co.kr 페이지 2 / 9 목차 1. 2. 3. 4. 개요웹취약점분류점검결과해결방안 주의사항

More information