웹 해킹의 끝판 대장! 파일 업로드 취약점 공격 기법! 기존의 알려진 방법과 전혀 다른 접근 방법을 통해 교육생의 웹 해킹 실력을 한층 스킬업! 시킬 수 있는 교육입니다!
이런 걸
배워요!
파일 업로드 기능 동작 원리
파일 업로드 취약점 원리
웹쉘에 대한 이해와 동작 원리
파일 업로드 취약점 공격 방법론
파일 업로드 취약점 시큐어 코딩 기법
실무 공격 기법
파일 업로드 취약점은 웹쉘(WebShell)이라는 공격용 악성 스크립트를 이용하여 서버를 장악하는 공격 기법으로 장악된 서버 한 군데서 끝나는 것이 아니라, 내부 네트워크 범위까지 침투가 가능하게 만드는 그러한 공격입니다. 정말 어마 무시한 공격입니다!
오늘날의 웹 환경에서 파일 업로드 기능은 필수적인 기능입니다. 우리가 자주 사용하는 웹 사이트는 대부분 파일 업로드 기능을 가지고 있습니다! 이러한 기능에서 공격용 악성 스크립트인 웹쉘이 업로드가 된다면 어떻게 될까요?!
수많은 악의적인 해커(Black Hacker)들은 이러한 공격 기법을 통해 공격한 웹 서버를 경유하여 내부까지 침투 그리고 직원들에게 악성코드를 배포, 랜섬웨어 배포, 내부 기밀 정보 탈취, 고객 개인 정보 탈취 등 악의적인 행위의 끝을 일삼을 수 있게 만드는 무서운 공격입니다! 정말 끔찍합니다...
이러한 영향력으로 인해서, 많은 기업들은 "파일 업로드 취약점"에 대해서 민감할 수밖에 없으며, 실무자들 사이에서는 "끝판 대장"이라는 타이틀까지 거머지게 된 공격 기법입니다!
웹 해킹을 직접하시거나 방어를 하신다면 꼬~~~옥 알아야 되는 거 이제 알겠쥬? ㅡ.,ㅡ;;
지금 이 글을 읽으시는 분들은 다음과 같은 카테고리일 것입니다.
한 문장으로 말씀드리고 싶습니다.
실무 진단 시 제일 집요하게 파고드는 공격으로, 제가 개인적으로 제일 좋아하는 공격입니다.
제가 그동안 경험한 노하우를 여러분에게 공유하고 싶습니다.
파일 업로드 기능 동작 원리, 파일 업로드 취약점 원리 기초부터 단단히 다지며 교육이 진행되며,
입문자분들도 쉽게 이해할 수 있도록 단계 별로 자세히 살펴봅니다.
파일 업로드 취약점 공격의 핵심 "웹쉘"에 대해서 기본 개념, 동작 원리 그리고 직접 제작하는 실습까지 진행됩니다. 웹쉘에 대한 이해는 필수입니다!
실무 사례 12가지를 통해 실무적인 관점까지 넓힐 수 있으며, 제공되는 가상 환경을 직접 실습하며 기술을 자기 것으로 만드실 수 있습니다!
가상 실습 환경이 JSP, PHP 총 18개가 제공됩니다!
진단자들은 공격에 강하지만 방어에 약한 모습을 많이 볼 수 있습니다. 이는 언어에 대한 진입 장벽으로 인해 생긴 현상과 시큐어 코딩에 대한 이해 부족입니다. 실습을 통해 그러한 장벽을 무너뜨릴 수 있습니다!
※ Burp Suite 사용 방법은 본 교육에서는 다루지 않으며, "웹 해킹과 모의해킹 현업에 대한 이야기" 교육에서 기본적인 사용 방법을 참고하시면 됩니다.
※ 본 교육 PPT에는 네이버에서 제공한 나눔글꼴이 적용되어 있습니다.
학습 대상은
누구일까요?
웹 해킹 입문자에서부터 고급자 모두
실무자
파일 업로드 취약점 공격 기법에 대해 자세히 알고 싶은 분
선수 지식,
필요할까요?
웹 기초
웹 해킹 기초
수강생 수
23,484
수강평 수
1,160
강의 평점
4.9
강의 수
18
:: 국내 정보보안 솔루션 개발 기업 재직 ::
- 앱 위변조 방지 솔루션 : 미들웨어 담당 / 해킹 대회 운영진 / 국내 유명 해킹/방어 훈련장 제작
:: 국내 정보보안 전문 업체 재직 ::
- 블랙박스 모의해킹 / 시나리오 기반 모의해킹 / 웹 취약점 진단 / 모바일 취약점 진단 / 소스코드 취약점 진단 / APT 모의 훈련 / DDoS 모의훈련 / 인프라 진단 / 스마트 가전 진단
- 국내 대기업, 중소기업 다수 진단
:: 외부 교육 및 활동 ::
- 멀티캠퍼스, 국가 보안 기술 연구소(ETRI)
- 국내 정보보안 업체 : 재직자 대상 "웹 모의해킹 심화 교육" 진행중
- 해커팩토리 문제 제작
:: 취약점 발견 ::
1) Web Application Server 취약점
- TMAX JEUS : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
- IBM WebSphere(CVE-2020-4163) : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
2) CMS(Contents Management System) 취약점
- 네이버 스마트에디터 : 파일 업로드 취약점
- 그누보드 : SQL Injection , 파일 업로드 취약점(그누보드4, 그누보드5), XSS ...
- 킴스큐 : 파리미터 변조 취약점 , 파일 업로드 취약점
* 이메일 : crehacktive3@naver.com
* 블로그 : http://www.crehacktive.co.kr
전체
111개 ∙ (15시간 39분)
가 제공되는 강의입니다.
교육 소개
10:57
APMSetup 설치
07:02
파일 업로드 취약점이란 무엇인가?
03:43
웹 해킹의 왕! 파일 업로드 취약점!
07:10
최고의 파트너! 파일 다운로드 취약점
03:50
공격 원리 분석
03:47
파일 업로드 기능 구조
03:23