・
수강평 17
・
평균평점 4.8
파일 다운로드 강의에 이어서 강의가 좋습니다. 특히 다운로드 강의에서도 그렇고 본 강의에서도 그렇고 자체 제작된 워게임 환겨잉 너무 좋네요 솔직히 말하면 워게임 이전에는 실습보단 너무 이론 위주의 강의여서 지루한 감도 있고, 손코딩 하기 전에는 사실 크게 와닿거나 기억이 오래 가지는 않습니다. 그래서 제 생각에는 개념 1개를 알려주시면 해당 워게임을 바로 진행시키고 새로운 1개를 배우면 바로 그것을 응용한 워게임을 진행하고 최종적으로 실무사례로 만들어진 워게임들을 풀어보게끔 해주셨다면 정말 최고였을 것 같습니다. 또 한가지 아쉬웠던 점은 파일 업로드 이후의 경로파악에 중점이 두어져있는데 파일 업로드 이전, 스크립트 파일을 업로드 하는데 검증 로직을 우회하는 실무에서 사용될 수 있는 방안들의 비중이 너무 적은 것 같습니다 ㅠ 스크립트 우회 기법은 너무 현대에는 통하지 않을 이론적인 기법같아서 그 점이 아쉬웠어요
좋은 수강평 감사합니다. 다른 분들이 보실껄 생각해서 혹시나 오해하시는 부분들이 있을까봐 몇자 적습니다. 파트1의 우회 기법들은 "파일 업로드 취약점 공격을 알기 위한 기본 중의 기본"입니다. 현재 실무에서도 사용되고 있으며, 이에 대해 응용하는 방법들을 많이 사용합니다. 현재 많이 활용되지 않는다해서 그 기법은 전혀 필요없는 것은 아닙니다. 모든 것은 응용되서 나오기 마련이며, 우린 다양하게 알고 있어야 이에 대한 공격들도 잘할 수 있기 때문입니다. 그리고 아직 레거시 시스템을 사용하는 곳들이 많기에 여전히 활용도가 있습니다. 그리고 파일 업로드 파트1의 핵심이 경로 파악입니다! 이건 매우매우 중요합니다! 이유는 당연 이를 통해 많은 취약점들을 발견할 수 있어서입니다. 그런데 현 실무자들이 이를 너무 간과하고 있습니다. 그래서 파일 업로드 취약점을 못찾는 경우를 너무나도 많이 봐왔습니다. 파트 1은 기본에 중점을 맞추고, 핵심이 담겨있는 강의로 꼭 반드시 알아야될 내용들이 있는 강의입니다. 그리고 파트1에 대한 기본기가 갖춰지면, 파트2가 좀더 테크니컬한 강의로써 기술적인 부분들을 익히시면 좋습니다.
