모의해킹 실무자가 알려주는, 파일 다운로드 취약점 공격 기법과 실무 사례 분석
모의해킹 실무자가 알려주는, 파일 다운로드 취약점 공격 기법과 실무 사례 분석
수강정보
(12개의 수강평)
99명의 수강생
33,000원
지식공유자 : 크리핵티브
50회 수업 · 총 7시간 1분 수업
기간 : 평생 무제한 시청
수료증 : 발급 강의
수강 난이도 : 초급

이 강의는

웹 해킹 입문자에서부터 실무자까지 쉽게 따라 할 수 있는 파일 다운로드 취약점 공격 기법! 실무에서 사용되는 파일 다운로드 취약점 공격 기법과 심화 공격 기법! 그리고 시큐어 코딩 적용 방법!

이런 걸 배워요

  • 파일 다운로드 기능에 대한 이해
  • 파일 다운로드 취약점에 대한 이해
  • 파일 다운로드 취약점 분석 방법
  • 파일 다운로드 취약점 심화 공격 기법
  • 실무 사례 분석을 통한 검증 로직 우회 기법
  • 대응 방안과 시큐어 코딩

실무 진단까지 확실한,
파일 다운로드 취약점 공격 학습!

📖 왜 파일 다운로드 취약점 공격을 배워야 할까?

웹 서비스에서 파일 다운로드 기능은 없어서는 안 될 중요한 기능이며, 많은 웹 서비스에서 파일 다운로드 기능을 사용하고 있습니다. 이러한 기능을 통해 서버 내 중요 파일들을 무단으로 다운로드 가능한 위험도 높은 취약점이 발생될 수 있습니다.

때문에 공격자 관점에서는 활용도가 높은 취약점이며, 방어자 관점에서는 반드시 방어를 해야 될 취약점입니다. 이를 위해서는 파일 다운로드 취약점 공격에 대한 이해가 반드시 있어야겠죠?

📖 자세한 공격 원리 분석을 통한 기초 지식 습득!

입문자들도 쉽게 이해할 수 있도록 Step by Step으로 공격 원리를 자세히 살펴봅니다! 

📖 실무에서 적용 가능한 공격 기법과 심화 공격!

공격 대상에 대한 취약점 분석 방법과 이에 대한 공격 기법 그리고 심화 공격 기법에 대해 자세히 다룹니다! (심화 공격 실무 사례 3개, 실무 사례 분석 7개)

📖 실무 환경 분석에 사용되는 가상 환경까지 제공~!

7개의 실무 기반의 가상 환경이 제공되며 같이 실습을 해볼 수 있습니다~!
실무 환경 분석을 통해 실력까지 업 업!!!(심화 공격 실무 사례 3개는 가상 환경이 제공되지 않습니다!)

📖 잘못된 주요정보통신기반시설 대응 가이드에 대한 지적! 그리고 올바른 대응 방안은?!

많은 보안 업체들이 주요정보통신기반시설 가이드를 통해 대응 코드로 제시를 하였으나, 이는 취약한 잘못 작성된 코드로 , 이것이 왜 ? 잘못되었는지, 올바르게 대응 방안을 적용을 하려면 어떻게 해야 될지를 배우게 됩니다.

🛠 여기서 다루는 프로그램

  • Burp Suite
  • APMSetup
  • Tomcat

※ Burp Suite 사용 방법은 본 교육에서는 다루지 않으며, "웹 해킹과 모의해킹 현업에 대한 이야기" 교육에서 기본적인 사용 방법을 참고하시면 됩니다.

🙋🏻‍♂️ 질문 Q&A

Q. 교육을 듣고 싶은데 그전에 알아야 될 것들이 있나요?
A. 기본적으로 아래의 "필수 시청 강좌" 2개를 수강하시고 본 교육을 수강하시는 것을 추천드립니다.

Q. 실무자/보안 학원 수료생들도 들어도 되는 교육인가요?
A. 상관없습니다. 본인이 진단하는 방식에서 어떤 것을 더 프로세스화 하고 어떤 부분을 더 추가할지, 그리고 어떤 방향으로 잡을지 도움이 되실 겁니다.

Q. 교육을 전부 듣게 되면 실무 진단을 할 수 있나요?
A. 당연합니다! 그러나, 교육만 듣는다고 되는 것이 아닙니다. 공격이란 행위를 하기 위해 본인 스스로 공부를 하고 실습을 충분히 해야 만족할 만한 결과를 얻을 수 있습니다. 어떤 무언가를 얻으려면 이에 수반되는 노력이 필요하기 마련입니다.

💡 필수 시청 강좌

반드시 알고 넘어가야 할 웹 기술 기초편 
웹 기술 기초를 익힐 수 있는 강좌
웹 해킹과 모의해킹 현업에 대한 이야기 
웹 해킹을 배우기 위한 입문 단계

※ 본 교육 PPT에는 네이버에서 제공한 나눔글꼴이 적용되어 있습니다. 

도움 되는 분들

  • 웹 해킹 입문자
  • 웹 보안 관련 업무 종사자

선수 지식

  • 웹 기초

공개 일자

2020년 3월 26일 (마지막 업데이트 일자 : 2020년 8월 21일)

지식공유자 소개

:: 국내 정보보안 솔루션 개발 기업 재직 ::
- 앱 위변조 방지 솔루션 : 미들웨어 담당 / 해킹 대회 운영진 / 국내 유명 해킹/방어 훈련장 제작

:: 국내 정보보안 전문 업체 재직 ::
- 블랙박스 모의해킹 / 시나리오 기반 모의해킹 / 웹 취약점 진단 / 모바일 취약점 진단 / 소스코드 취약점 진단 / APT 모의 훈련 / DDoS 모의훈련 / 인프라 진단 / 스마트 가전 진단
- 국내 대기업, 중소기업 다수 진단

:: 외부 교육 및 활동 ::
- 멀티캠퍼스, 국가 보안 기술 연구소(ETRI)
- 국내 정보보안 업체 : 재직자 대상 "웹 모의해킹 심화 교육" 진행중
- 해커팩토리 문제 제작

:: 취약점 발견 ::

1) Web Application Server 취약점
- TMAX JEUS : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
- IBM WebSphere(CVE-2020-4163) : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)

2) CMS(Contents Management System) 취약점
- 네이버 스마트에디터 : 파일 업로드 취약점
- 그누보드 : SQL Injection , 파일 업로드 취약점(그누보드4, 그누보드5), XSS ...
- 킴스큐 : 파리미터 변조 취약점 , 파일 업로드 취약점

* 이메일 : crehacktive3@naver.com
* 블로그 : http://www.crehacktive.co.kr

4.8
12개의 수강평
default_profile.png
WebWH 5달 전
인젝션 강의를 듣고 다운로드 강의를 들었는데 역시 프로세스화 되어있다는 점이 최고였습니다. 다음 강의 나오기만을 기다리게 되네요.. 얼른 나왔으면 좋겠습니다 ㅎㅎ 너무 큰 도움이 되어서 감사할 따름입니다..!
크리핵티브

크리핵티브 5달 전
좋은 수강평 강의마다 남겨주셔서 너무너무 감사합니다! 공격에 대한 프로세스화가 제 강의 포인트인데 너무 잘 집어주셨네요 ㅎㅎ 너무 감사합니다!

default_profile.png
AJS 6달 전
현재 모의해킹 실무자인데 파일 다운로드 취약점의 더욱 자세한 설명, 정확한 대응 방안 제시가 이 강의의 가장 큰 장점이었던 것 같습니다. 왜 파일 다운로드가 치명적인지, 원리가 무엇인지에 대해 자세히 배울 수 있고 실무에서 사용되는 방법론적인 부분에 대해서도 많이 알게 된 것 같습니다. 강의에서 말씀하신대로 한번으로 끝나지 않고 이 강의 2번 더 반복해서 들을 생각입니다. 앞으로도 크리핵티브에서 강의가 나온다면 주저 않고 신청해서 공부하겠습니다. 좋은 강의 감사드립니다!
크리핵티브

크리핵티브 6달 전
실무자분들이 강의를 많이 듣고 계시네요 ㅎㅎ 도움이 되셨다니 정말 다행입니다.ㅎㅎ 앞으로 좋은 교육들 많이 많들테니 많은 관심 부탁드립니다.^^

교육과정

모두 펼치기 50 강의 7시간 1분
섹션 0. 교육 프롤로그
5 강의 34 : 46
섹션 1. 파일 다운로드 취약점과 파일 다운로드 기능에 대한 이해
7 강의 75 : 49
파일 다운로드 취약점이란 무엇인가?
03 : 06
파일 다운로드 기능에 대한 이해와 필요성
06 : 04
오늘날의 파일 다운로드 로직에 대한 이해
07 : 40
파일 다운로드 로직 분류
06 : 14
[실습1-1] 직접 제작하면서 배우는 PHP 기반의 파일 다운로드 기능에 대한 이해
15 : 10
[실습1-2] 직접 제작하면서 배우는 JSP 기반의 파일 다운로드 기능에 대한 이해
35 : 00
모의해킹 관점에서의 파일 다운로드 취약점
02 : 35
섹션 2. 파일 다운로드 취약점 공격 기법
11 강의 118 : 08
공격 방법
11 : 08
공격 원리 분석
02 : 04
공격 프로세스
05 : 51
취약점 분석 방법론(1)
09 : 44
취약점 분석 방법론(2)
10 : 17
취약점 분석 방법론(3)
11 : 33
취약점 분석 방법론(4)
43 : 27
[실습2-1] 취약점 분석 실습(1)
06 : 19
[실습2-2] 취약점 분석 실습(2)
06 : 05
[실습2-3] 취약점 분석 실습(3)
08 : 20
취약점 분석을 넘어서, 심화 공격
03 : 20
섹션 3. 심화 공격 기법
7 강의 75 : 23
심화 공격 개요
04 : 44
심화 공격(1)
27 : 10
심화 공격(2)
04 : 20
[실습3-1] 심화 공격 실무 사례(1)
06 : 40
[실습3-2] 심화 공격 실무 사례(2)
14 : 51
[실습3-3] 심화 공격 실무 사례(3)
12 : 57
쉽지만은 않은 정보 수집의 여정
04 : 41
섹션 4. 실무 사례 분석을 통한 검증 로직 분석과 우회 실습
9 강의 62 : 16
환경 구축
05 : 26
[실습4-1] 실무 사례 분석(1)
04 : 52
[실습4-2] 실무 사례 분석(2)
02 : 40
[실습4-3] 실무 사례 분석(3)
07 : 43
[실습4-4] 실무 사례 분석(4)
02 : 58
[실습4-5] 실무 사례 분석(5)
05 : 01
[실습4-6] 실무 사례 분석(6)
06 : 41
[실습4-7] 실무 사례 분석(7)
06 : 54
[실습4-8] 실무 사례 분석(8) - [추가]20200420
20 : 01
섹션 5. 대응 방안
9 강의 49 : 20
취약점 발생 원인과 대응
03 : 21
대응 방안 개요
02 : 05
상세 대응 방안(1)
03 : 40
상세 대응 방안(2)
06 : 22
상세 대응 방안(3)
01 : 17
상세 대응 방안(4)
03 : 37
[실습5-1] PHP 기반의 파일 다운로드 기능 시큐어 코딩 적용
06 : 46
[실습5-2] JSP 기반의 파일 다운로드 기능 시큐어 코딩 적용
10 : 03
잘못된 주요 정보 통신 기반 시설 가이드 대응 방안 그리고 그것을 사용하는 보안 업체들
12 : 09
섹션 6. 교육 에필로그
2 강의 06 : 02
잃어버린 퍼즐 조각의 비밀, 파일 업로드 취약점 공격
02 : 06
교육을 마치며
03 : 56
지식공유자 되기
많은 사람들에게 배움의 기회를 주고,
경제적 보상을 받아보세요.
지식공유참여
기업 교육을 위한 인프런
“인프런 비즈니스” 를 통해 모든 팀원이 인프런의 강의들을
자유롭게 학습하는 환경을 제공하세요.
인프런 비즈니스