모의해킹 실무자가 알려주는, 파일 다운로드 취약점 공격 기법과 실무 사례 분석
크리핵티브
웹 해킹 입문자에서부터 실무자까지 쉽게 따라 할 수 있는 파일 다운로드 취약점 공격 기법! 실무에서 사용되는 파일 다운로드 취약점 공격 기법과 심화 공격 기법! 그리고 시큐어 코딩 적용 방법!
초급
모의해킹
먼저 경험한 수강생들의 후기
이런 걸 배울 수 있어요
SQL Injection 응용 공격 기법
SQL Injection 고급 공격 기법
New Blind-Based SQL Injection
어디에도 없던 SQL 인젝션 고급/응용 공격 기법!
모의해킹 공격의 새로운 방향을 제시해드려요.
📖 모의해킹 실무자가 알려주는, SQL Injection 공격 시리즈!
- PART(1) : 기초 / 실무 공격 / 시큐어 코딩 ◀ 지난 강의
SQL Injection 공격에서 가장 중요한 내용을 다루는 교육으로, 기초에서부터 실무에서 사용되는 공격 기법들과 다양한 대응 방안 및 시큐어 코딩을 배울 수 있습니다. 이후 진행될 교육의 기본이 되는 필수 교육입니다.
- PART(2) : 응용 / 심화 / 고급 ◀ 현재 강의
PART(1)에서 다루지 않은 응용 공격 기법과 고급 공격 기법에 대한 교육입니다.
- PART(3) : 자동화 도구 제작 ◀ 제작 예정
배웠던 공격 기법들을 자동화 도구에 그대로 적용하여 Python 기반의 자동화 도구를 제작하는 교육입니다.
📖 SQL Injection Part 1&2의 차이점!
이전 강의 Part(1)은 공격에 대한 기초와 원리 그리고 공격의 핵심 이론 및 실습에 대한 강의였다면, 본 강의는 SQL Injection 공격의 테크닉적 부분을 다룹니다. 따라서 Part(1)은 본 강의의 뼈대가 되는 강의로, 먼저 Part(1) 강의를 수강하신 다음 Part(2) 강의를 듣는 것을 추천드립니다.
📖 SQL Injection 공격, 어떻게 해왔나요?
아래 항목에 해당된다면, 본 강의를 통해 시~원하게 해결이 가능합니다!
- 게시판에 게시글이 없는 환경에서 공격을 못하거나, Time-Based 공격을 진행하지는 않으셨나요?
- Error-Based, Union-Based 공격 시 하나하나씩 데이터 추출을 하지는 않으셨나요?
- Blind-Based 공격 시 하나의 문자 추론을 위해 최소 7번 요청을 하지는 않으셨나요?
- DB와 연동된 파일 다운로드 기능에 대해 파일 다운로드 취약점 공격이 가능하다는 사실을 알고 계셨나요?
- DB와 연동된 파일 다운로드 기능에 대해 Union-Based 공격을 통한 데이터 조회 공격이 가능하다는 사실을 알고 계셨나요?
💡 이 강의를 반드시 수강해야 하는 이유!
본 강의에서는 기존에 알려진 공격 기법도 다루지만, 잘 알려진 공격 기법이 아닌 직접 연구를 통해 알아낸 기법에 대한 것도 다루고 있습니다. 바로 Blind-Based SQL Injection 공격에 대한 새로운 방향을 제시하는 공격 기법입니다!
이 공격 기법을 통해 기존에 알려진 공격 기법보다 어떻게 더욱 빠르고 효과적으로 데이터를 조회할 수 있는지에 대해서도 강의에서 다루고 있습니다!
그래서... 실무자들은 반드시 이 강의를 들어야겠죠!?
📖 각 DBMS에 대한 PHP 기반의 실습 게시판 제공!
PHP-MYSQL, PHP-MSSQL, PHP-ORACLE 기반의 실습 게시판을 제공해드리며, 이를 통해 다양한 DBMS별 SQL Injection 실습이 가능합니다.
🙋🏻♂️ 질문 Q&A
Q. Part(1) 강의를 수강하지 않았는데 Part(2) 강의를 이해할 수 있을까요?
A. Part(1) 강의를 반드시 수강하시는 것을 추천드립니다. 그리고 SQL Injection 공격에 대한 이해가 충분히 된 상태에서 해당 강의를 듣는 것을 추천드립니다. 만약 Part(1) 수강은 하지 않았지만 SQL Injection 공격에 대한 지식이 충분히 있다면 Part(2) 수강에 큰 문제는 없지만, 사용되는 명칭이나 모르는 내용이 있을 수 있으니 되도록 Part(1) 강의를 수강하시는 것을 추천드립니다.
Q. 실무에서 바로 적용할 수 있는 공격 기술인가요?
A. 예, 당연합니다! 바로 적용할 수 있으며 기존 기술보다 더 효율적으로 공격이 가능합니다.
Q. 대응방안에 대한 내용도 있나요?
A. 아니요, 없습니다. 대응방안에 대한 부분은 Part(1) 강의를 참고하시면 됩니다.
💡 필수 시청 강좌
※ 본 교육 PPT에는 네이버에서 제공한 나눔글꼴이 적용되어 있습니다.
이런 분들께
추천드려요
학습 대상은
누구일까요?
SQL Injection 기본기가 갖추어진 분
SQL Injection 공격에 대해 자신있는 분
SQL Injection 공격에 대해 더 자세하게 알고 싶은 분
SQL Injection 공격을 더 빠르게 하고 싶으신 분
선수 지식,
필요할까요?
SQL 기본 문법
SQL Injection 기본 지식
SQL Injection 공격에 대한 이해
25,752
명
수강생
1,344
개
수강평
497
개
답변
4.9
점
강의 평점
18
개
강의
:: 국내 정보보안 솔루션 개발 기업 재직 ::
- 앱 위변조 방지 솔루션 : 미들웨어 담당 / 해킹 대회 운영진 / 국내 유명 해킹/방어 훈련장 제작
:: 국내 정보보안 전문 업체 재직 ::
- 블랙박스 모의해킹 / 시나리오 기반 모의해킹 / 웹 취약점 진단 / 모바일 취약점 진단 / 소스코드 취약점 진단 / APT 모의 훈련 / DDoS 모의훈련 / 인프라 진단 / 스마트 가전 진단
- 국내 대기업, 중소기업 다수 진단
:: 외부 교육 및 활동 ::
- 멀티캠퍼스, 국가 보안 기술 연구소(ETRI)
- 국내 정보보안 업체 : 재직자 대상 "웹 모의해킹 심화 교육" 진행중
- 해커팩토리 문제 제작
:: 취약점 발견 ::
1) Web Application Server 취약점
- TMAX JEUS : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
- IBM WebSphere(CVE-2020-4163) : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
2) CMS(Contents Management System) 취약점
- 네이버 스마트에디터 : 파일 업로드 취약점
- 그누보드 : SQL Injection , 파일 업로드 취약점(그누보드4, 그누보드5), XSS ...
- 킴스큐 : 파리미터 변조 취약점 , 파일 업로드 취약점
* 이메일 : crehacktive3@naver.com
* 블로그 : http://www.crehacktive.co.kr
커리큘럼
전체
85개 ∙ (14시간 43분)
해당 강의에서 제공:
수업자료
강의 게시일:
마지막 업데이트일:
수강평
전체
23개
4.9
23개의 수강평
정두화수강평 3
∙
평균 평점 5.0
- 고영훈
수강평 1
∙
평균 평점 5.0
- qwerty
수강평 18
∙
평균 평점 4.8
- sim_sw
수강평 4
∙
평균 평점 5.0
- Hong David
수강평 1
∙
평균 평점 3.0
월 ₩33,000
5개월 할부 시
₩165,000
![파일 업로드 취약점 고급 공격 기법 PART2 [통합편]강의 썸네일](https://cdn.inflearn.com/public/courses/333012/cover/12bd40e1-1e17-493a-81b9-64ac5fed558e/333012.png?f=avif&w=420)
