Thumbnail
BEST 보안 · 네트워크 보안
모의해킹 실무자가 알려주는, 파일 다운로드 취약점 공격 기법과 실무 사례 분석
(4.8)
18개의 수강평 ∙ 157명의 수강생

33,000원

지식공유자 : 크리핵티브
총 51개 수업˙총 7시간 10분
평생 무제한 수강
수료증 발급 강의
입문 초급 대상 중급이상
내 목록 추가 111 공유
초급자를 위해 준비한
[보안] 강의입니다.

웹 해킹 입문자에서부터 실무자까지 쉽게 따라 할 수 있는 파일 다운로드 취약점 공격 기법! 실무에서 사용되는 파일 다운로드 취약점 공격 기법과 심화 공격 기법! 그리고 시큐어 코딩 적용 방법!

✍️
이런 걸
배워요!
파일 다운로드 기능에 대한 이해
파일 다운로드 취약점에 대한 이해
파일 다운로드 취약점 분석 방법
파일 다운로드 취약점 심화 공격 기법
실무 사례 분석을 통한 검증 로직 우회 기법
대응 방안과 시큐어 코딩

실무 진단까지 확실한,
파일 다운로드 취약점 공격 학습!

📖 왜 파일 다운로드 취약점 공격을 배워야 할까?

웹 서비스에서 파일 다운로드 기능은 없어서는 안 될 중요한 기능이며, 많은 웹 서비스에서 파일 다운로드 기능을 사용하고 있습니다. 이러한 기능을 통해 서버 내 중요 파일들을 무단으로 다운로드 가능한 위험도 높은 취약점이 발생될 수 있습니다.

때문에 공격자 관점에서는 활용도가 높은 취약점이며, 방어자 관점에서는 반드시 방어를 해야 될 취약점입니다. 이를 위해서는 파일 다운로드 취약점 공격에 대한 이해가 반드시 있어야겠죠?

📖 자세한 공격 원리 분석을 통한 기초 지식 습득!

입문자들도 쉽게 이해할 수 있도록 Step by Step으로 공격 원리를 자세히 살펴봅니다! 

📖 실무에서 적용 가능한 공격 기법과 심화 공격!

공격 대상에 대한 취약점 분석 방법과 이에 대한 공격 기법 그리고 심화 공격 기법에 대해 자세히 다룹니다! (심화 공격 실무 사례 3개, 실무 사례 분석 7개)

📖 실무 환경 분석에 사용되는 가상 환경까지 제공~!

7개의 실무 기반의 가상 환경이 제공되며 같이 실습을 해볼 수 있습니다~!
실무 환경 분석을 통해 실력까지 업 업!!!(심화 공격 실무 사례 3개는 가상 환경이 제공되지 않습니다!)

📖 잘못된 주요정보통신기반시설 대응 가이드에 대한 지적! 그리고 올바른 대응 방안은?!

많은 보안 업체들이 주요정보통신기반시설 가이드를 통해 대응 코드로 제시를 하였으나, 이는 취약한 잘못 작성된 코드로 , 이것이 왜 ? 잘못되었는지, 올바르게 대응 방안을 적용을 하려면 어떻게 해야 될지를 배우게 됩니다.

🛠 여기서 다루는 프로그램

  • Burp Suite
  • APMSetup
  • Tomcat

※ Burp Suite 사용 방법은 본 교육에서는 다루지 않으며, "웹 해킹과 모의해킹 현업에 대한 이야기" 교육에서 기본적인 사용 방법을 참고하시면 됩니다.

🙋🏻‍♂️ 질문 Q&A

Q. 교육을 듣고 싶은데 그전에 알아야 될 것들이 있나요?
A. 기본적으로 아래의 "필수 시청 강좌" 2개를 수강하시고 본 교육을 수강하시는 것을 추천드립니다.

Q. 실무자/보안 학원 수료생들도 들어도 되는 교육인가요?
A. 상관없습니다. 본인이 진단하는 방식에서 어떤 것을 더 프로세스화 하고 어떤 부분을 더 추가할지, 그리고 어떤 방향으로 잡을지 도움이 되실 겁니다.

Q. 교육을 전부 듣게 되면 실무 진단을 할 수 있나요?
A. 당연합니다! 그러나, 교육만 듣는다고 되는 것이 아닙니다. 공격이란 행위를 하기 위해 본인 스스로 공부를 하고 실습을 충분히 해야 만족할 만한 결과를 얻을 수 있습니다. 어떤 무언가를 얻으려면 이에 수반되는 노력이 필요하기 마련입니다.

💡 필수 시청 강좌

반드시 알고 넘어가야 할 웹 기술 기초편 
웹 기술 기초를 익힐 수 있는 강좌
웹 해킹과 모의해킹 현업에 대한 이야기 
웹 해킹을 배우기 위한 입문 단계

※ 본 교육 PPT에는 네이버에서 제공한 나눔글꼴이 적용되어 있습니다. 

지식공유자가 알려주는
강의 수강 꿀팁!
🎓
이런 분들께
추천드려요!
웹 해킹 입문자
웹 보안 관련 업무 종사자
📚
선수 지식,
필요한가요?
웹 기초

안녕하세요
크리핵티브 입니다.
크리핵티브의 썸네일

:: 국내 정보보안 솔루션 개발 기업 재직 ::
- 앱 위변조 방지 솔루션 : 미들웨어 담당 / 해킹 대회 운영진 / 국내 유명 해킹/방어 훈련장 제작

:: 국내 정보보안 전문 업체 재직 ::
- 블랙박스 모의해킹 / 시나리오 기반 모의해킹 / 웹 취약점 진단 / 모바일 취약점 진단 / 소스코드 취약점 진단 / APT 모의 훈련 / DDoS 모의훈련 / 인프라 진단 / 스마트 가전 진단
- 국내 대기업, 중소기업 다수 진단

:: 외부 교육 및 활동 ::
- 멀티캠퍼스, 국가 보안 기술 연구소(ETRI)
- 국내 정보보안 업체 : 재직자 대상 "웹 모의해킹 심화 교육" 진행중
- 해커팩토리 문제 제작

:: 취약점 발견 ::

1) Web Application Server 취약점
- TMAX JEUS : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
- IBM WebSphere(CVE-2020-4163) : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)

2) CMS(Contents Management System) 취약점
- 네이버 스마트에디터 : 파일 업로드 취약점
- 그누보드 : SQL Injection , 파일 업로드 취약점(그누보드4, 그누보드5), XSS ...
- 킴스큐 : 파리미터 변조 취약점 , 파일 업로드 취약점

* 이메일 : crehacktive3@naver.com
* 블로그 : http://www.crehacktive.co.kr

커리큘럼 총 51개 ˙ 7시간 10분의 수업
이 강의는 영상, 첨부 파일이 제공됩니다. 미리보기를 통해 콘텐츠를 확인해보세요.
섹션 0. 교육 프롤로그
교육 소개 미리보기 06:33
환경 구축 개요 02:55
APMSetup 개념 및 설치 미리보기 07:02 php.ini 파일 내 magic_quotes_gpc 설정 미리보기 07:30
Tomcat 설치와 버프 스위트 서비스 포트 변경 10:46
[추가] 버프스위트에서 원하는 요청,응답만 인터셉트하는 방법과 설정 저장하기 08:22
섹션 1. 파일 다운로드 취약점과 파일 다운로드 기능에 대한 이해
파일 다운로드 취약점이란 무엇인가? 03:06
파일 다운로드 기능에 대한 이해와 필요성 06:04
오늘날의 파일 다운로드 로직에 대한 이해 07:40
파일 다운로드 로직 분류 06:14
[실습1-1] 직접 제작하면서 배우는 PHP 기반의 파일 다운로드 기능에 대한 이해 15:10
[실습1-2] 직접 제작하면서 배우는 JSP 기반의 파일 다운로드 기능에 대한 이해 35:00
모의해킹 관점에서의 파일 다운로드 취약점 02:35
섹션 2. 파일 다운로드 취약점 공격 기법
공격 방법 11:08
공격 원리 분석 02:04
공격 프로세스 05:51
취약점 분석 방법론(1) 09:44
취약점 분석 방법론(2) 10:17
취약점 분석 방법론(3) 11:33
취약점 분석 방법론(4) 43:27
[실습2-1] 취약점 분석 실습(1) 06:19
[실습2-2] 취약점 분석 실습(2) 06:05
[실습2-3] 취약점 분석 실습(3) 08:20
취약점 분석을 넘어서, 심화 공격 03:20
섹션 3. 심화 공격 기법
심화 공격 개요 04:44
심화 공격(1) 27:10
심화 공격(2) 04:20
[실습3-1] 심화 공격 실무 사례(1) 06:40
[실습3-2] 심화 공격 실무 사례(2) 14:51
[실습3-3] 심화 공격 실무 사례(3) 12:57
쉽지만은 않은 정보 수집의 여정 04:41
섹션 4. 실무 사례 분석을 통한 검증 로직 분석과 우회 실습
환경 구축 05:26
[실습4-1] 실무 사례 분석(1) 04:52
[실습4-2] 실무 사례 분석(2) 02:40
[실습4-3] 실무 사례 분석(3) 07:43
[실습4-4] 실무 사례 분석(4) 02:58
[실습4-5] 실무 사례 분석(5) 05:01
[실습4-6] 실무 사례 분석(6) 06:41
[실습4-7] 실무 사례 분석(7) 06:54
[실습4-8] 실무 사례 분석(8) - [추가]20200420 20:01
섹션 5. 대응 방안
취약점 발생 원인과 대응 03:21
대응 방안 개요 02:05
상세 대응 방안(1) 03:40
상세 대응 방안(2) 06:22
상세 대응 방안(3) 01:17
상세 대응 방안(4) 03:37
[실습5-1] PHP 기반의 파일 다운로드 기능 시큐어 코딩 적용 06:46
[실습5-2] JSP 기반의 파일 다운로드 기능 시큐어 코딩 적용 10:03
잘못된 주요 정보 통신 기반 시설 가이드 대응 방안 그리고 그것을 사용하는 보안 업체들 12:09
섹션 6. 교육 에필로그
잃어버린 퍼즐 조각의 비밀, 파일 업로드 취약점 공격 02:06
교육을 마치며 03:56
강의 게시일 : 2020년 03월 26일 (마지막 업데이트일 : 2020년 08월 21일)
수강평 총 18개
수강생분들이 직접 작성하신 수강평입니다. 수강평을 작성 시 300잎이 적립됩니다.
4.8
18개의 수강평
5점
4점
3점
2점
1점
VIEW 좋아요 순 최신 순 높은 평점 순 낮은 평점 순 평점 순 높은 평점 순 낮은 평점 순
피망 thumbnail
안녕하세요 현재 보안관제 업무를 수행하고 있는데 업무 하면서 경로 우회관련 패킷들을 많이 보는데 개념이 정확히 잡히지 않아서 해당 강의를 들었는데 정말 자세히 설명해 주시고 자세한 동작원리, 다양한 실습, 대응방안을 설명해 주셔서 업무에 많은 도움이 될것 같습니다. 이후에 진행하셨던 업로드 취약점 강의도 들을 생각입니다. 좋은 강의 만들어 주셔서 감사합니다!
2020-07-09
지식공유자크리핵티브
보안 현업에 계시는 분이시군요! 많은 실무자들이 제 교육을 많이 듣고 있네요 ㅎㅎ 자세한 수강평 너무 감사합니다! 앞으로 더욱더 좋은 강의로 찾아 뵙겠습니다. 즐거운 하루 보내세요~!
2020-07-09
AJS thumbnail
현재 모의해킹 실무자인데 파일 다운로드 취약점의 더욱 자세한 설명, 정확한 대응 방안 제시가 이 강의의 가장 큰 장점이었던 것 같습니다. 왜 파일 다운로드가 치명적인지, 원리가 무엇인지에 대해 자세히 배울 수 있고 실무에서 사용되는 방법론적인 부분에 대해서도 많이 알게 된 것 같습니다. 강의에서 말씀하신대로 한번으로 끝나지 않고 이 강의 2번 더 반복해서 들을 생각입니다. 앞으로도 크리핵티브에서 강의가 나온다면 주저 않고 신청해서 공부하겠습니다. 좋은 강의 감사드립니다!
2020-04-03
지식공유자크리핵티브
실무자분들이 강의를 많이 듣고 계시네요 ㅎㅎ 도움이 되셨다니 정말 다행입니다.ㅎㅎ 앞으로 좋은 교육들 많이 많들테니 많은 관심 부탁드립니다.^^
2020-04-03
WebWH thumbnail
인젝션 강의를 듣고 다운로드 강의를 들었는데 역시 프로세스화 되어있다는 점이 최고였습니다. 다음 강의 나오기만을 기다리게 되네요.. 얼른 나왔으면 좋겠습니다 ㅎㅎ 너무 큰 도움이 되어서 감사할 따름입니다..!
2020-05-20
지식공유자크리핵티브
좋은 수강평 강의마다 남겨주셔서 너무너무 감사합니다! 공격에 대한 프로세스화가 제 강의 포인트인데 너무 잘 집어주셨네요 ㅎㅎ 너무 감사합니다!
2020-05-21
크리핵티브 thumbnail
실무 사례 분석 7개는 가상환경이 제공되지만, 심화 공격 실무 사례 3개는 가상환경이 제공되지 않습니다. 이점 참고해서 교육 신청해주세요! (교육 소개 페이지에도 나와있습니다.)
2020-04-01
열공생  thumbnail
음 수강평을 작성할려고 하는데 정말 고민이 되네요 어떻게 표현할 방법이 없습니다. CTF 등을 문제를 많이 풀어보지만 다운로드 취약점에 대해 간략적으로 이해를 하였지만 그냥 거기까지 이해를 하였습니다. 혼자 찾아서 이해해도 큰 그림을 그리기가 힘들었습니다. 하지만 이 강의를 듣기전에는 그냥 그런 강의일까 ? 라는 의문점과 건방진 생각을 좀 하였습니다. (거의다 알겠지 뭐!) 자만감이라 하면 되겠네요! 강사님에게는 죄송합니다 ..ㅠ 처음 몇개의 부분에서는 아는 부분도 있었습니다! 하지만 점점 더 뒤로 가면 갈수록 음 ???????? ???????????? ???????? 가 찍히게 되면서 아! 하고 번뜩 생각이 듭니다. 보고 또 보고 보고 또 보고 점점 큰그림이 그려지면서 그냥 .. 요즘말로 갓이다 라고 표현하고 싶네요 ㅎㅎ! 이렇게 생각하시는분들도 있으실겁니다 아 다른 강의나 책에서는 뭐 모든 웹교육과정 다해봣자 얼만데~ 너무 비싼거아냐~ ? 무슨 다운로드 취약점 하나만 ~ 업로드 취약점 하나만~ 이렇게 생각하시는 분들과 아 수강평 진짜 없네 뭐 별루인가보다~ 이러한 생각을 하시는분들! 있으실수도 있습니다! 하지만! 그런강의에서 들을수 없는 진짜 고급강의들로 포함이 되어있습니다! (다른강의들 비판이 아닙니다! 그만큼 좋은강의였다는거에요!ㅎㅎ) 실습자료 안받으시면 환불도가능한걸로 알고있습니다. (인프런 정책상? 자세한건 확인해보세요!!) 들어보셔도 좋을꺼 같아요 단점 : 따윈 없었습니다! ㅎㅎㅎ
2020-06-02
지식공유자크리핵티브
엄청 나게 긴 수강평! 거기다 극찬까지! 너무너무 감사합니다ㅠ 갓이라니 과찬이십니다ㅠ 원래 대부분 웹 해킹이면 원래 전체 취약점을 하나의 교육으로 잡아서 진행을 많이 하셔서, 단과 과정이라 많은 분들이 쪼금 꺼리시는 부분이 없지않아 있어보이긴 합니다. 그부분에 대해 정확히 말씀해주셨네요 ㅎㅎ 제 강의를 통해 도움이 되셨다니 정말 다행입니다! 그저 감사할 따름이네요. 즐거운 하루 보내세요~!
2020-06-02

33,000원

내 목록 추가 111 공유
지식공유자 : 크리핵티브
총 51개 수업˙총 7시간 10분
평생 무제한 수강
수료증 발급 강의
입문 초급 대상 중급이상
지식공유자 되기
많은 사람들에게 배움의 기회를 주고,
경제적 보상을 받아보세요.
지식공유참여
기업 교육을 위한 인프런
“인프런 비즈니스” 를 통해 모든 팀원이 인프런의 강의를
자유롭게 학습하는 환경을 제공하세요.
인프런 비즈니스