초급자를 위해 준비한
[보안] 강의입니다.
이런 걸
배워요!
XSS 공격에 대한 개념
XSS 공격 원리
XSS 공격의 종류
XSS 공격 방법론
XSS 공격, 강의 하나로 마스터!
보안 실무자와 함께 체계적으로 배워봐요.
클라이언트 공격의 제왕, XSS! 📖
XSS란?
XSS는 Cross-Site Scripting
(사이트 간 스크립팅)의 약자로,
웹 페이지에 삽입된 악성 스크립트를 통해
사이트 교차가 되며 발생하는 취약점입니다.
XSS는 클라이언트 측 스크립트(Script)를 통해 사이트 교차가 됨으로써 발생되는 취약점입니다. 최근 이슈가 되고 있는 랜섬웨어 감염 또한 XSS를 통해 유포 및 감염이 되는 경우도 많습니다.
또한 웹 공격의 트렌드가 서버 측에서 클라이언트 측으로 이동이 되면서, 공격 원리상 웹 어플리케이션에서 높은 확률로 취약점이 발견이 되고 있습니다. 이에 따라 XSS 공격의 중요성과 관심이 높이 올라가고 있습니다.
이 강의만의 특장점! ✨
다른 웹 해킹 강의와 어떻게 다를까요?
단언컨대, 이런 방식의 교육은 없을 거라 자부합니다!
대부분의 웹 해킹 교육 및 서적에서는 공격에 대한 기본적인 개념에 대해서만 설명하기 마련입니다.
그러나 본 강의는 기본 개념부터 공격 원리, 그리고 무엇보다 중요한 ‘어떤 프로세스로 공격 절차를 거쳐야하는지’에 대해 보다 체계적으로 학습하실 수 있습니다.
학습 내용 📚
섹션 1. XSS 공격에 대한 이해
XSS 공격에 대한 기본적인 개념과 원리에 대해 알아봅니다. 또한 XSS 공격을 통해 무엇을 할 수 있으며, 실무 관점에서는 어떻게 활용이 되며 한계점은 무엇인지에 대해 살펴봅니다.
섹션 2. XSS 공격을 위한, 자바스크립트에 대한 이해
원활한 XSS 공격을 위해, 공격에 사용되는 프로그래밍 언어인 자바스크립트(JavaScript)에 대해서 살펴봅니다. 자바스크립트에 대한 세세한 이해보다는 XSS 공격에 쓰이는 기본적인 개념을 중심으로 배우게 됩니다.
섹션 3. 공격 기법의 종류와 공격 원리 상세 분석
XSS 공격 기법인 DOM-Based XSS, Reflected XSS, Stored XSS의 개념과 원리에 대해 살펴보고, 어떤 차이점으로 인해 이러한 공격 기법이 분류되는지 자세히 알아봅니다.
해당 섹션을 학습하고 나면, 위와 같은 XSS 공격 기법에 대한 구분과 판단을 정확하게 할 수 있게 됩니다. 특히, Dom-Based XSS와 Reflected XSS 공격을 구분하지 못하는 분들은 많은 도움이 될 것입니다.
섹션 4. 공격 상세 방법론
해당 섹션은 본 강의의 핵심 내용으로, 기존의 도서나 교육에서는 볼 수 없는 공격 방법론입니다. 어떻게 공격에 접근해야 할지, 특정한 상황 및 환경에선 어떻게 공격을 해야 하는지 알아야 제대로 공격을 할 수 있습니다.
뿐만 아니라, 공격 시 반드시 알아둬야 할 팁에 대해서 배울 수 있습니다.
섹션 5. 검증 로직에 따른 각종 우회 기법
검증 로직에 따라 어떻게 우회를 해야 하는지에 대한 다양한 방법들을 살펴봅니다. XSS 공격 특성상 여러 가지 우회 기법이 존재하지만, 이번 섹션에서는 그중에서도 특히 실무에서 많이 사용되는 기술에 대해 다루게 됩니다.
섹션 6. 세션 하이재킹 공격에 대한 원리 이해와 공격 실습
XSS 공격을 통해 할 수 있는 공격 중 하나인, 세션 하이재킹(Session Hijacking) 공격에 대해 살펴봅니다. 세션 하이재킹 공격에 대한 개념과 공격 원리 그리고 공격 실습을 진행합니다.
섹션 7. 키로깅 공격에 대한 원리 이해와 공격 실습
XSS 공격을 통해 할 수 있는 공격 중 하나인, 키로깅(Key Logging) 공격에 대해 살펴봅니다. 키로깅 공격에 대한 개념과 공격 원리 그리고 공격 실습을 진행합니다.
섹션 8. 실무 진단 시 주의사항
이번 섹션에서는 많은 진단자들이 취약점 진단을 할 때 실수하는 부분이기도 한, 실무 진단 시 주의할 여러 가지 사항에 대해서 살펴봅니다.
섹션 9. 대응 방안
공격뿐만 아니라 대응 방안에 대해서도 반드시 알아야 진정한 정보보안 전문가라고 할 수 있습니다.
마지막 섹션에서는 XSS 공격에 대한 방어를 하기 위해 필요한 시큐어 코딩 방법과 보안 라이브러리 사용에 대해 살펴봅니다. 또한, 세션 하이재킹 공격을 방어하기 위한 방법에 대해서도 살펴봅니다.
예상 질문 Q&A 💬
Q. 강의 수강 전 알고 있어야 할 것들이 있나요?
웹 기초 관련 지식이 있으면 도움이 됩니다. 제 강의 중 다음 강의를 먼저 수강하시는 걸 추천드립니다.
반드시 알고 넘어가야 할 웹 기술 기초편
HTTP, WWW, 쿠키/세션 등 필수 지식을 한번에.
Q. 정보보안 관련 지식이 없는 비전공자 혹은 학생인데, 수강해도 될까요?
위에도 언급했듯 웹 기초 강의를 수강하신다면 무리 없이 수강하실 수 있습니다. 또한 약간의 프로그래밍 지식이 있다면 학습에 많은 도움이 될 수 있습니다.
Q. "웹 개발자와 정보보안 입문자들이 반드시 알아야 될, 웹 해킹과 보안 그리고 시큐어 코딩" 강의에서 다루는 XSS 공격 내용과 본 강의의 차이점은 무엇인가요?
언급하신 강의에도 XSS 관련 내용을 다루지만, 기존 교육이나 도서에서 언급하는 수준의 내용을 학습하게 됩니다. 본 강의에서는 공격에 대해 어떻게 진단을 해야 될지 방법론적인 부분과 프로세스들을 자세히 배울 수 있습니다.
웹 해킹과 보안 그리고 시큐어 코딩
웹 해킹을 재미있게 시작하고 싶다면!
Q. 정보보안 실무자도 들어도 될까요?
당연합니다. 오히려 더 많은 도움이 되실 겁니다. 그동안의 제 강의로 이 부분은 이미 입증이 되었을 것이라 봅니다. ^^
크리핵티브의 더 많은 강의가 궁금하다면? (클릭)
필수 시청 강좌 💡
※ 본 교육 PPT에는 네이버에서 제공한 나눔글꼴이 적용되어 있습니다.
이런 분들께
추천드려요!
학습 대상은
누구일까요?
정보보안 입문자
정보보안 전문가
웹 개발자
선수 지식,
필요할까요?
웹 기초
프로그래밍 기초
안녕하세요
크리핵티브입니다.
:: 국내 정보보안 솔루션 개발 기업 재직 ::
- 앱 위변조 방지 솔루션 : 미들웨어 담당 / 해킹 대회 운영진 / 국내 유명 해킹/방어 훈련장 제작
:: 국내 정보보안 전문 업체 재직 ::
- 블랙박스 모의해킹 / 시나리오 기반 모의해킹 / 웹 취약점 진단 / 모바일 취약점 진단 / 소스코드 취약점 진단 / APT 모의 훈련 / DDoS 모의훈련 / 인프라 진단 / 스마트 가전 진단
- 국내 대기업, 중소기업 다수 진단
:: 외부 교육 및 활동 ::
- 멀티캠퍼스, 국가 보안 기술 연구소(ETRI)
- 국내 정보보안 업체 : 재직자 대상 "웹 모의해킹 심화 교육" 진행중
- 해커팩토리 문제 제작
:: 취약점 발견 ::
1) Web Application Server 취약점
- TMAX JEUS : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
- IBM WebSphere(CVE-2020-4163) : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
2) CMS(Contents Management System) 취약점
- 네이버 스마트에디터 : 파일 업로드 취약점
- 그누보드 : SQL Injection , 파일 업로드 취약점(그누보드4, 그누보드5), XSS ...
- 킴스큐 : 파리미터 변조 취약점 , 파일 업로드 취약점
* 이메일 : crehacktive3@naver.com
* 블로그 : http://www.crehacktive.co.kr
커리큘럼
전체
69개 ∙ (9시간 14분)
가 제공되는 강의입니다.
교육 소개
09:07
Bitnami WAMP 설치 및 실행
13:12
PHP 설정
10:51
MYSQL 환경 변수 설정
05:59
가상 환경 및 실습 예제 환경 세팅
04:47
XSS 공격이란 무엇인가?
10:12
공격 대상
03:49
공격 유형
09:53
XSS 공격이 주목 받는 이유
04:27
실무 관점에서의 XSS 공격 활용
12:41
왜 자바스크립트여야 되는가?
02:08
자바스크립트란 무엇인가?!
03:05
자바스크립트 실행 방법
05:08
[실습2-2] 자바스크립트 실행 실습
05:27