보안 · 네트워크

보안

파일 업로드 취약점 고급 공격 기법 PART2 [통합편]

Name: 파일 업로드 취약점 고급 공격 기법 PART2 [통합편]
Price: 110000 KRW

웹 해킹의 끝판 대장! 파일 업로드 취약점 공격 기법! 파트1에 이어 파트2 '1편' 교육으로 보다 심화된 고급 기법에 대한 내용을 다룹니다.

(4.8) 수강평 6개

수강생 94명

크리핵티브

모의해킹 Java 웹셸 오펜시브 시큐리티

중급자를 위해 준비한
[보안] 강의입니다.

이런 걸 배울 수 있어요

Java 파일 업로드 라이브러리에 대한 이해
Java 파일 업로드 라이브러리에 대한 잠재적 보안 위협
웹 방화벽에 대한 이해
웹 방화벽 우회 기술
다양한 환경에 대한 이해
다양한 환경에서 웹쉘 업로드 공격 방법

파일 업로드 취약점 공격 Part 2-1
학습 내용을 확인해보세요!

안전하다고 알려진 업로드 검증 로직, 과연 안전할까?

아래 소스코드는 파일 업로드 취약점으로부터 안전하다고 알려진 소스코드입니다. 그렇다면 정말 안전한 코드가 맞을까요?

...
String path = request.getRealPath("/upload");
MultipartRequest multi = new MultipartRequest(request, path, 1024*10*10, "UTF-8");
Enumeration formNames = multi.getFileNames();
while(formNames.hasMoreElements()) {
    String param = (String)formNames.nextElement();
    String uploadFile = multi.getFilesystemName(param);
    int extOffset = uploadFile.lastIndexOf(".");
    String fileExt = uploadFile.substring(extOffset+1).toLowerCase();
    if (!fileExt.equals("jpg") && !fileExt.equals("png") && !fileExt.equals("gif")) {
        File fp = new File(path, uploadFile);
        fp.delete();
        out.println(“<script>alert(‘잘못된 확장자’);history.back(-1);</script>");
        return;
    }
}
...

아닙니다. 해당 소스코드는 '취약한 소스코드'입니다.
이 코드가 취약한 이유, 그리고 이에 대한 공격 방법은 Part 2-1 강의에서 자세히 다룹니다.

더 알아볼까요? 📚

파일 업로드 라이브러리별 케이스 이해

각 파일 업로드 라이브러리에 대해 분석하며, 발생될 수 있는 잠재적 보안 위협 그리고 다양한 케이스에 대해 다룹니다.

정답을 알려주는 강의가 아닙니다,
관점을 넓혀주는 강의입니다!

‘파일 업로드 취약점 Part 2’는 다양한 환경에 대한 파일 업로드 취약점 공격을 성공하기 위한 3편의 강의로 구성되어 있습니다. 그러나 정답을 알려주는 강의가 아닙니다. 본 강의를 수강한다고 해서 모든 환경에서 파일 업로드 취약점 공격에 성공하는 것이 아닙니다.

본 강의의 목표는 정답을 알려주는 것이 아닌, 관점을 넓혀주는 강의입니다. 다양한 환경에서 취약점이 발생할 수 있다는 걸 학습하게 되면 ‘아, 이렇게도 시도해 볼 수 있구나!’라는 깨우침을 얻게 되며, 나아가 앞으로 있을 진단들에서도 다양한 환경이 존재한다는 걸 ’알고’ 분석할 수 있습니다. 이를 알고 분석하는 것과 모르고 분석하는 것은 하늘과 땅 차이입니다.

이번 강의를 통해 웹 해킹에 대한 관점을 확실하게 바로잡고, 더 높은 수준으로 여러분의 실력을 끌어올릴 수 있는 초석을 다질 수 있기를 바랍니다!

이런 분들께
추천드려요!

학습 대상은
누구일까요?

현업에서 모의해킹 혹은 취약점 진단을 하고 있는 실무자
취업 준비생

선수 지식,
필요할까요?

웹 기술
웹 해킹 기초
파일 다운로드 취약점 지식
파일 업로드 취약점 지식

안녕하세요
크리핵티브입니다.

25,090

명

수강생

1,267

개

수강평

492

개

답변

4.9

점

강의 평점

개

강의

:: 국내 정보보안 솔루션 개발 기업 재직 ::
- 앱 위변조 방지 솔루션 : 미들웨어 담당 / 해킹 대회 운영진 / 국내 유명 해킹/방어 훈련장 제작

:: 국내 정보보안 전문 업체 재직 ::
- 블랙박스 모의해킹 / 시나리오 기반 모의해킹 / 웹 취약점 진단 / 모바일 취약점 진단 / 소스코드 취약점 진단 / APT 모의 훈련 / DDoS 모의훈련 / 인프라 진단 / 스마트 가전 진단
- 국내 대기업, 중소기업 다수 진단

:: 외부 교육 및 활동 ::
- 멀티캠퍼스, 국가 보안 기술 연구소(ETRI)
- 국내 정보보안 업체 : 재직자 대상 "웹 모의해킹 심화 교육" 진행중
- 해커팩토리 문제 제작

:: 취약점 발견 ::

1) Web Application Server 취약점
- TMAX JEUS : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
- IBM WebSphere(CVE-2020-4163) : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)

2) CMS(Contents Management System) 취약점
- 네이버 스마트에디터 : 파일 업로드 취약점
- 그누보드 : SQL Injection , 파일 업로드 취약점(그누보드4, 그누보드5), XSS ...
- 킴스큐 : 파리미터 변조 취약점 , 파일 업로드 취약점

* 이메일 : crehacktive3@naver.com
* 블로그 : http://www.crehacktive.co.kr

커리큘럼

전체

72개 ∙ (6시간 10분)

해당 강의에서 제공:

수업자료

섹션 1. 프롤로그

6개 ∙ (28분)

섹션 2. [PART2-1] 파일 업로드 라이브러리 분석과 공격 방법론

27개 ∙ (2시간 0분)

7. 개요
02:57
8. 파일 업로드 라이브러리 필요성과 종류
07:01
9. [라이브러리1] 환경 구축
03:04
10. [라이브러리1] 파일 업로드 소스코드 분석
08:39
11. [라이브러리1] jd-gui 다운로드 및 실행
03:41
12. [라이브러리1] 라이브러리 분석
16:09
13. [라이브러리1] 라이브러리 동작 원리와 잠재적 보안 위협
02:20
14. [라이브러리1] 잠재적 보안 위협(1)
05:12
15. [라이브러리1] 잠재적 보안 위협(1)에 따른 공격 실습
08:05
16. [라이브러리1] 잠재적 보안 위협(2)
01:10
17. [라이브러리1] 잠재적 보안 위협(2)에 따른 공격 실습
01:44
18. [라이브러리1] 잠재적 보안 위협(3)
06:44
19. [라이브러리1] 잠재적 보안 위협(3)에 따른 공격 실습
03:34
20. [라이브러리1] 잠재적 보안 위협(4)
02:11
21. [라이브러리1] 잠재적 보안 위협(4)에 따른 공격 실습
04:46
22. [라이브러리1] 안전한 라이브러리 사용법
01:49
23. [라이브러리1] 정리
03:53
24. [라이브러리2] 환경 구축
03:20
25. [라이브러리2] 잠재적 보안 위협과 파일 업로드 소스코드 분석
02:28
26. [라이브러리2] 잠재적 보안 위협에 따른 공격 실습
03:46
27. [라이브러리2] 스프링 프레임워크는 과연 안전할까?
02:39
28. [라이브러리2] 스프링 프레임워크 취약점 분석(1)
05:23
29. [라이브러리2] 스프링 프레임워크 취약점 분석(2)
04:59
30. [라이브러리2] 스프링 프레임워크 취약점 공격 실습
04:28
31. [라이브러리2] 안전한 라이브러리 사용법
01:50
32. [라이브러리2] 안전한 소스코드 적용 실습
03:50
33. 반드시 알고 있어야 될, 파일 업로드 라이브러리
04:23

섹션 3. [PART2-2] 웹 방화벽 우회를 위한, 기본 지식과 테크닉

17개 ∙ (57분)

34. 웹 방화벽에 대한 이해
06:58
35. 파일 업로드 취약점 공격 시의 웹 방화벽 탐지 원리
04:51
36. 웹 방화벽 우회를 위한 테크닉 개론
05:21
37. 웹 방화벽 우회 테크닉(1)
04:12
38. 웹 방화벽 우회 테크닉(1) 실습
03:20
39. 웹 방화벽 우회 테크닉(2)
01:13
40. 웹 방화벽 우회 테크닉(2) 실습
01:27
41. 웹 방화벽 우회 테크닉(3)
01:30
42. 웹 방화벽 우회 테크닉(3) 실습
00:49
43. 웹 방화벽 우회 테크닉(4)
02:05
44. 웹 방화벽 우회 테크닉(4) 실습
00:57
45. 웹 방화벽 우회 테크닉(5-1)
04:32
46. 웹 방화벽 우회 테크닉(5-2)
08:44
47. 웹 방화벽 우회 테크닉(5-3)
01:18
48. 웹 방화벽 우회 테크닉(5) 실습
02:21
49. 파일 업로드 라이브러리별 공격 기법 정리
02:56
50. 웹 방화벽 우회를 위해서...
04:42

섹션 4. [PART2-3] 다양한 실무 환경에서의 공격 방법론

22개 ∙ (2시간 44분)

강의 게시일: 2024. 02. 06.

마지막 업데이트일: 2024. 03. 07.

수강평

전체

6개

4.8

6개의 수강평

김형수
수강평 2
∙
평균 평점 5.0
2025. 05. 09.
5
31% 수강 후 작성
장정현
수강평 3
∙
평균 평점 5.0
2025. 05. 30.
5
61% 수강 후 작성
Lee youngchae
수강평 7
∙
평균 평점 4.3
2025. 03. 18.
4
31% 수강 후 작성
인포섹
수강평 17
∙
평균 평점 4.8
2025. 05. 25.
5
100% 수강 후 작성
좋은 강의였습니다~
alwayzalike
수강평 2
∙
평균 평점 5.0
2025. 05. 14.
수정됨
5
31% 수강 후 작성
정말 좋은 강의 입니다.

크리핵티브님의 다른 강의

지식공유자님의 다른 강의를 만나보세요!

웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩

크리핵티브

정보보안 입문자와 웹 개발자 분들을 위한 웹 해킹 입문 강의! 본 강의를 시작으로 웹 해킹을 재미있게 시작해보세요!

초급

모의해킹, 인젝션

모의해킹 실무자가 알려주는, 파일 업로드 취약점 공격 기법과 실무 사례 분석 : PART 1

크리핵티브

웹 해킹의 끝판 대장! 파일 업로드 취약점 공격 기법! 기존의 알려진 방법과 전혀 다른 접근 방법을 통해 교육생의 웹 해킹 실력을 한층 스킬업! 시킬 수 있는 교육입니다!

초급

모의해킹

실습으로 배우는 OAuth 2.0 개념 원리, 그리고 해킹과 보안

크리핵티브

OAuth 2.0 프로토콜에 대한 핵심 이론과 실습을 통해 동작 원리를 더욱 자세하게 살펴봅니다. 그리고 해킹과 보안의 관점으로 OAuth 2.0 프로토콜 분석을 해봅니다.

중급이상

모의해킹, OAuth

Skill-Up! 배워서 바로 쓰는 웹쉘 제작

크리핵티브

파일 업로드 취약점 공격의 핵심 도구 웹쉘! 이 강의를 통해 같이 웹쉘 제작을 배워보세요~!

초급

웹셸, Bootstrap

파일 업로드 취약점 고급 공격 기법 PART2-3 : 다양한 실무 환경에서의 공격 방법론

크리핵티브

웹 해킹의 끝판 대장! 파일 업로드 취약점 공격 기법! 파트1에 이어 파트2 '3편' 교육으로 보다 심화된 고급 기법에 대한 내용을 다룹니다.

중급이상

모의해킹

파일 업로드 취약점 고급 공격 기법 PART2-2 : 웹 방화벽 우회를 위한, 기본 지식과 테크닉

크리핵티브

웹 해킹의 끝판 대장! 파일 업로드 취약점 공격 기법! 파트1에 이어 파트2 '2편' 교육으로 보다 심화된 고급 기법에 대한 내용을 다룹니다.

중급이상

모의해킹

파일 업로드 취약점 고급 공격 기법 PART2-1 : 파일 업로드 라이브러리 분석과 공격 방법론

크리핵티브

웹 해킹의 끝판 대장! 파일 업로드 취약점 공격 기법! 파트1에 이어 파트2 '1편' 교육으로 보다 심화된 고급 기법에 대한 내용을 다룹니다.

중급이상

모의해킹

안전한 웹 사이트 제작을 위한, 웹 보안 원 포인트 레슨

크리핵티브

본 강의를 통해 안전한 웹 서비스를 제작하는 방법을 익힐 수 있습니다.

초급

모의해킹 실무자가 알려주는, XSS 공격 기법

크리핵티브

이번 강의에서는 클라이언트 공격의 제왕, XSS(Cross-Site Scripting)에 대해 다룹니다. XSS의 기본 개념부터 공격 원리, 그리고 무엇보다 중요한 어떤 프로세스로 공격 절차를 거쳐야 하는지에 대해서까지 체계적으로 학습하실 수 있습니다.

초급

모의해킹, xss

모의해킹 실무자가 알려주는, SQL Injection 고급 공격 기법 : PART 2

크리핵티브

모의해킹 실무자가 알려주는, SQL Injection 두번째 강의! 첫번째 강의는 기본과 공격의 핵심 원리를 살펴보았다면, 두번째 강의에서는 테크니컬한 고급 공격 기법에 대한 강의입니다. 때문에 첫번째 강의 수강은 필수!

중급이상

모의해킹, 인젝션

무작정 따라하며 원리를 깨우치는 웹 해킹 : WebGoat 편

크리핵티브

WebGoat 문제 풀이를 통해 무작정 따라하면서 배우고, 익히고, 원리를 파악할 수 있는 웹 해킹 강의!

초급

모의해킹, WebGoat

Skill-Up! 웹쉘 탐지 솔루션 우회를 위한, 웹쉘 난독화 기법

크리핵티브

웹쉘과 웹쉘 탐지 솔루션에 대한 기본적인 이해와 우회를 위한 공격 방법 및 난독화 기법들!

초급

모의해킹, 웹셸

모의해킹 실무자가 알려주는, 파일 다운로드 취약점 공격 기법과 실무 사례 분석

크리핵티브

웹 해킹 입문자에서부터 실무자까지 쉽게 따라 할 수 있는 파일 다운로드 취약점 공격 기법! 실무에서 사용되는 파일 다운로드 취약점 공격 기법과 심화 공격 기법! 그리고 시큐어 코딩 적용 방법!

초급

모의해킹

모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1

크리핵티브

모의해킹 실무자가 알려주는, 웹 해킹의 꽃 SQL Injection! 공격과 방어를 동시에 배워보세요.

초급

모의해킹, 인젝션

성공적인 SQL 인젝션 공격을 위한, SQL 기본 문법

크리핵티브

웹 해킹의 꽃이라 불리는 SQL 인젝션 공격을 익히기 위한 기초 단계! SQL 기본 문법에 대한 강의입니다!

초급

SQL, 모의해킹, MySQL

웹 해킹과 모의해킹 현업에 대한 이야기

크리핵티브

웹 해킹 입문자와 관련 업무 취업 준비생들을 위한 웹 해킹 입문과 모의해킹 현업에 대한 이야기

입문

모의해킹

반드시 알고 넘어가야 할 웹 기술 기초편

크리핵티브

웹 기술 기초를 익힐 수 있는 강좌로 단 시간에 웹 기술 기초를 익히실 수 있습니다. 웹 관련 공부 혹은 취업을 희망하시는 분은 반드시 본 강좌를 수강하세요!

입문

모의해킹

비슷한 강의

같은 분야의 다른 강의를 만나보세요!

파일 업로드 취약점 고급 공격 기법 PART2-1 : 파일 업로드 라이브러리 분석과 공격 방법론

크리핵티브

웹 해킹의 끝판 대장! 파일 업로드 취약점 공격 기법! 파트1에 이어 파트2 '1편' 교육으로 보다 심화된 고급 기법에 대한 내용을 다룹니다.

중급이상

모의해킹

[에듀윌 화이트해커] 게임 해킹

에듀윌학습도우미

이번 과목은 해킹도 게임처럼, 게임도 해킹해보는 과목입니다. 안드로이드 게임, 치트엔진을 활용해 해킹을 배워봅시다!

중급이상

모의해킹

스프링 시큐리티

백기선

스프링 시큐리티 구동 원리 및 구조를 이해하고 스프링 시큐리티가 제공하는 다양한 기능을 활용하여 웹 애플리케이션에 필요한 인증 및 인가 기능을 설정하는 방법을 살펴봅니다.

중급이상

Java, Spring

스프링 시큐리티 OAuth2

정수원

스프링 시큐리티 OAuth2의 기본 개념부터 API 사용법과 내부 아키텍처를 학습합니다. 아울러 OAuth2 Client, OAuth2 Resource Server, Authorization Server를 통합하여 연동하는 방법을 살펴보고 자체 인가 서버를 구축하며 이를 통해 OAuth2 서비스를 구현하는 방법을 학습하게 됩니다.

중급이상

Java, Spring, Spring Boot

AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안

보안프로젝트

IT 서비스가 클라우드 환경으로 빠르게 전환되고 있습니다. 아마존 AWS 클라우드 환경 보안을 위해 알아야 할 기본적인 가상 인프라 구축부터, 각 영역별 보안 위협 모니터링, 취약점 진단 관점을 통해 보안 실무를 배우게 됩니다.

초급

AWS, 모의해킹

반드시 알고 넘어가야 할 웹 기술 기초편

크리핵티브

입문

모의해킹

모의해킹 업무 취업 준비, 면접 대비 과정

보안프로젝트

이 강의는 IT 보안 모의해킹 업무로 직업을 선택하려고 했을 때, 공부를 하면서 어떻게 준비를 해나가야 할지, 면접을 대비해서 어떤 질문 사례와 답변을 해나가야 하는지 전반적인 가이드를 제공하고 있습니다. 모의해킹 컨설턴트, 대기업, 금융권을 다니며, 현재 모의해킹 컨설팅 사업을 하며 쌓였던 경험을 그대로 전달해드립니다.

입문

모의해킹, 기술면접

월 ₩22,000

5개월 할부 시

₩110,000

파일 업로드 취약점 고급 공격 기법 PART2 [통합편]

중급자를 위해 준비한
[보안] 강의입니다.

이런 걸 배울 수 있어요

💡 수강 전 확인해주세요!

어디에서도 들을 수 없는 내용을
강의에 담았습니다!

파일 업로드 취약점 공격 Part 2-1
학습 내용을 확인해보세요!

안전하다고 알려진 업로드 검증 로직, 과연 안전할까?

더 알아볼까요? 📚

파일 업로드 취약점 공격 Part 2-2
학습 내용을 확인해보세요!

파일 업로드 취약점 공격 Part 2-3
학습 내용을 확인해보세요!

정답을 알려주는 강의가 아닙니다,
관점을 넓혀주는 강의입니다!

예상 질문 Q&A 💬

수강 전 참고 사항 📢

이런 분들께
추천드려요!

안녕하세요
크리핵티브입니다.

커리큘럼

수강평

크리핵티브님의 다른 강의

비슷한 강의

파일 업로드 취약점 고급 공격 기법 PART2 [통합편]

중급자를 위해 준비한 [보안] 강의입니다.

이런 걸 배울 수 있어요

💡 수강 전 확인해주세요!

어디에서도 들을 수 없는 내용을강의에 담았습니다!

파일 업로드 취약점 공격 Part 2-1 학습 내용을 확인해보세요!

안전하다고 알려진 업로드 검증 로직, 과연 안전할까?

더 알아볼까요? 📚

파일 업로드 취약점 공격 Part 2-2 학습 내용을 확인해보세요!

파일 업로드 취약점 공격 Part 2-3 학습 내용을 확인해보세요!

정답을 알려주는 강의가 아닙니다,관점을 넓혀주는 강의입니다!

예상 질문 Q&A 💬

수강 전 참고 사항 📢

이런 분들께 추천드려요!

안녕하세요 크리핵티브입니다.

커리큘럼

수강평

크리핵티브님의 다른 강의

비슷한 강의

중급자를 위해 준비한
[보안] 강의입니다.

어디에서도 들을 수 없는 내용을
강의에 담았습니다!

파일 업로드 취약점 공격 Part 2-1
학습 내용을 확인해보세요!

파일 업로드 취약점 공격 Part 2-2
학습 내용을 확인해보세요!

파일 업로드 취약점 공격 Part 2-3
학습 내용을 확인해보세요!

정답을 알려주는 강의가 아닙니다,
관점을 넓혀주는 강의입니다!

이런 분들께
추천드려요!

안녕하세요
크리핵티브입니다.