PowerPoint Template

Similar documents
Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

슬라이드 1

Windows 8에서 BioStar 1 설치하기

슬라이드 1

슬라이드 1

PowerPoint 프레젠테이션

Ç¥Áö

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

FreeBSD Handbook

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Studuino소프트웨어 설치

Oracle VM VirtualBox 설치 VirtualBox에서 가상머신 설치 가상머신에 Ubuntu 설치

Observational Determinism for Concurrent Program Security

게시판 스팸 실시간 차단 시스템

제목 레이아웃

FreeBSD Handbook

Microsoft PowerPoint - 10Àå.ppt

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

KAA2005.9/10 Ãâ·Â

슬라이드 1

Interstage5 SOAP서비스 설정 가이드

슬라이드 1

게임 기획서 표준양식 연구보고서

Chapter 1

SBR-100S User Manual

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

슬라이드 제목 없음

Endpoint Protector - Active Directory Deployment Guide

Microsoft PowerPoint - 안드로이드 개발 환경 구축(170411)

B.3 JDBC 설치 JDBC Java DataBase Connectivity 는자바에서 DBMS의종류에상관없이일관된방법으로 SQL을수행할수있도록해주는자바 API Application Program Interface 다. 이책에서는톰캣과 SQL Server 간의연결을위

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Microsoft PowerPoint - 3장-MS SQL Server.ppt [호환 모드]

Microsoft Word - Windows_apahce_php_CUBRID2008


ICAS CADWorx SPLM License 평가판설치가이드

The Basic Of Blind SQL Injection Sur3x5F - PRIDE NateOn : PRIDE in Sur3x5F All rights are reserved

Microsoft Word - src.doc

歯mp3사용설명서

untitled

<30352D30312D3120BFB5B9AEB0E8BEE0C0C720C0CCC7D82E687770>

BEA_WebLogic.hwp

01장

Portal_9iAS.ppt [읽기 전용]

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper




자식농사웹완

chungo_story_2013.pdf

*중1부

2

Çѱ¹ÀÇ ¼º°øº¥Ã³µµÅ¥

...._


전반부-pdf

표1.4출력

003-p.ps

<4D F736F F F696E74202D20312E20B0E6C1A6C0FCB8C15F3136B3E2C7CFB9DDB1E25F325FC6ED28C0BA292E >

_

12월월간보고서내지편집3

중앙도서관소식지겨울내지33

에너지포커스 2007년 가을호


01_당선자공약_서울

인권문예대회_작품집4-2




목차

A°ø¸ðÀü ³»Áö1-¼öÁ¤

±¹³»°æÁ¦ º¹»ç1

¿¡³ÊÁö ÀÚ¿ø-Âü°í ³»Áö.PDF

전반부-pdf

뉴스레터6호

Microsoft PowerPoint 하반기 크레딧 전망_V3.pptx

50차 본문 최종

양성내지b72뼈訪?303逞

³»Áöc03âš

fsb9¿ù³»ÁöÃÖÁ¾Ãâ

¾ç¼º-¾÷¹«Æí¶÷-³»¿ëÃà¼Ò4

전도대회자료집


< DBAB4B9ABC3BB5FBAB9B9ABB0FCB8AEB8C5B4BABEF32D33B1C72E706466>

표1~4

<3344C7C1B8B0C6C320BFE4BEE02D E706466>

µ¶ÀÏÅëÀÏÁý1~2Æíq36£02Ð


Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

ArcGIS Desktop 9.2 Install Guide

Install stm32cubemx and st-link utility

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Secure Programming Lecture1 : Introduction

Analyst Briefing

NTD36HD Manual

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

JDBC 소개및설치 Database Laboratory

InsertColumnNonNullableError(#colName) 에해당하는메시지출력 존재하지않는컬럼에값을삽입하려고할경우, InsertColumnExistenceError(#colName) 에해당하는메시지출력 실행결과가 primary key 제약에위배된다면, Ins

Transcription:

설치및실행방법 Jaewoo Shim Jun. 4. 2018

Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2

SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet Database Client Web Server Server 3

SQL 인젝션이란 정상 (1/4) 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 POST /login.php HTTP/1.1 id=guest pw=1q2w3e!@ Internet SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Database Client Web Server Server 4

SQL 인젝션이란 정상 (2/4) 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 POST /login.php HTTP/1.1 id=guest pw=1q2w3e!@ Internet SELECT * FROM users WHERE id= guest AND pw= 1q2w3e!@ Database Client Web Server Server 5

SQL 인젝션이란 정상 (3/4) 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 Client POST /login.php HTTP/1.1 id=guest pw=1q2w3e!@ Internet SELECT * FROM users WHERE id= guest AND pw= 1q2w3e!@ Web Server Database John 의정보 Server 6

SQL 인젝션이란 정상 (4/4) 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 Client POST /login.php HTTP/1.1 id=guest pw=1q2w3e!@ Hello John! Internet SELECT * FROM users WHERE id= guest AND pw= 1q2w3e!@ Web Server Server Database John 의정보 7

SQL 인젝션이란 공격 (1/4) 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet Database Client Web Server Server 8

SQL 인젝션이란 공격 (2/4) 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 POST /login.php HTTP/1.1 id=guest pw=aa or 1 = 1 Internet SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Database Client Web Server Server 9

SQL 인젝션이란 공격 (3/4) 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 Client POST /login.php HTTP/1.1 id=guest pw=aa or 1 = 1 Internet SELECT * FROM users WHERE id= guest AND pw= AA or 1 = 1 Web Server Database???? 의정보 SELECT * FROM users WHERE id= guest AND pw= AA or 1 = 1 SELECT * FROM users WHERE TRUE Server 10

SQL 인젝션이란 공격 (4/4) 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 Client POST /login.php HTTP/1.1 id=guest pw=aa or 1 = 1 Hello????! Internet SELECT * FROM users WHERE id= guest AND pw= AA or 1 = 1 Web Server Server Database???? 의정보 11

WebGoat 인터넷상에서실제서비스중인웹서버를대상으로공격수행은불법 5 년이하의징역또는 5 천만원이하의벌금 워게임사이트, 또는가상의환경을구축하여공격을수행하며실습 http://los.eagle-jump.org https://github.com/webgoat/webgoat http://sqlzoo.net/hack/ etc 12

WebGoat https://github.com/webgoat/webgoat OWASP(Open Web Application Security Project) 에의해만들어진트레이닝 자신의컴퓨터에환경을갖추어실습가능 자신의컴퓨터에취약점이있는웹페이지를구성하기때문에보안에취약해질수있음 13

설치방법 - VirtualBox https://www.virtualbox.org/wiki/downloads 14

설치방법 - VirtualBox Next > 버튼눌러서진행 15

설치방법 - VirtualBox Next > 버튼눌러서진행 16

설치방법 - VirtualBox Next > 버튼눌러서진행 17

설치방법 - VirtualBox Yes 버튼눌러서진행 18

설치방법 - VirtualBox Install 버튼눌러서진행 19

설치방법 Kali Linux https://www.offensive-security.com/kali-linux-vmware-virtualbox-imagedownload/ 20

설치방법 Kali Linux 앞서설치한 VirtualBox 실행후 왼쪽상단에 파일 (F)- 가상시스템가져오기 (I) 21

설치방법 Kali Linux 폴더그림클릭후다운로드한 ova 파일선택 다음 (N) 버튼을눌러진행 22

설치방법 Kali Linux 가져오기 클릭 23

설치방법 Kali Linux 새로생성된가상머신클릭후 시작 버튼을눌러시작 24

설치방법 Kali Linux 기본사용자아이디 : root 기본사용자비밀번호 : toor 위정보를이용하여로그인 25

설치방법 WebGoat 터미널실행 26

설치방법 WebGoat # cd Desktop # apt update # apt upgrade # wget https://github.com/webgoat/webgoat/releases/download/7.1/webgoat-container-7.1-exec.jar # java jar webgoat-container-7.1-exec.jar 이후아래와같이 Webgoat가실행되는모습을확인 http://localhost:8080/webgoat 로접속 27

설치방법 WebGoat 아이디 guest / 비밀번호 guest 로로그인 참고 노란색아이콘이웹브라우저 28

실습 왼쪽의 Injection Flaws 클릭 아래쪽에나타나는 String SQL Injection 클릭 29

실습 String SQL Injection 30

실습 String SQL Injection 입력란에 Smith 라는문장을입력시아래와같이테이블조회가가능 31

실습 String SQL Injection SELECT * FROM user_data WHERE last_name = Smith SELECT * FROM user_data WHERE last_name = AAAA or 1 = 1 SELECT * FROM user_data WHERE last_name = AAAA or TRUE SELECT * FROM user_data OR 연산의한항이 TRUE 면값은항상 TRUE 32

실습 String SQL Injection 아래와같이성공하는모습을확인가능 33

실습 Numeric SQL Injection 34

실습 Numeric SQL Injection Columbia 라는문자열이직접들어가지않고어떠한정수가들어가는모습확인가능 35

실습 Numeric SQL Injection SELECT * FROM weather_data WHERE station = 101 SELECT * FROM weather_data WHERE station = 101 OR TRUE SELECT * FROM weather_data OR 연산의한항이 TRUE 면값은항상 TRUE HOW??? 36

실습 Numeric SQL Injection 해당리스트를마우스오른쪽클릭 Inspect Element 클릭 37 도시이름 정수값 Columbia 101 Seattle 102 New York 103 Houston 104

실습 Numeric SQL Injection 38

과제 WebGoat 환경을구성한이후, 아래문제를스스로푼뒤문제에대한자신의접근방법을포함한문제풀이보고서를작성하세요. 실습시간에함께풀어보았던두문제 Numeric SQL Injection String SQL Injection 39

40

Contact 질문사항 조교이름 : 심재우 장소 : 미디어센터 504호 ( 엘리베이터바로앞 ) 이메일 : tlawodn94@gmail.com 41

42

2024 © docsplayer.org 개인정보보호 | 약관 | 지원