성장의 계절, 모든 강의 30% 할인!

Thumbnail
진짜 시작, 봄맞이 30% 할인 중(D-8)
BEST
보안 · 네트워크 보안

모의해킹 실무자가 알려주는, XSS 공격 기법 대시보드

(4.9)
30개의 수강평 ∙  518명의 수강생

30%

46,200원

66,000원
지식공유자: 크리핵티브
총 69개 수업 (9시간 14분)
수강기한: 
무제한
수료증: 발급
난이도: 
입문
-
초급
-
중급이상
지식공유자 답변이 제공되는 강의입니다
폴더에 추가 공유

초급자를 위해 준비한
[보안] 강의입니다.

이번 강의에서는 클라이언트 공격의 제왕, XSS(Cross-Site Scripting)에 대해 다룹니다. XSS의 기본 개념부터 공격 원리, 그리고 무엇보다 중요한 어떤 프로세스로 공격 절차를 거쳐야 하는지에 대해서까지 체계적으로 학습하실 수 있습니다.

✍️
이런 걸
배워요!
XSS 공격에 대한 개념
XSS 공격 원리
XSS 공격의 종류
XSS 공격 방법론

XSS 공격, 강의 하나로 마스터!
보안 실무자와 함께 체계적으로 배워봐요.

클라이언트 공격의 제왕, XSS! 📖

XSS란?

XSS는 Cross-Site Scripting
(사이트 간 스크립팅)의 약자로,
웹 페이지에 삽입된 악성 스크립트를 통해
사이트 교차가 되며 발생하는 취약점입니다.

XSS는 클라이언트 측 스크립트(Script)를 통해 사이트 교차가 됨으로써 발생되는 취약점입니다. 최근 이슈가 되고 있는 랜섬웨어 감염 또한 XSS를 통해 유포 및 감염이 되는 경우도 많습니다. 

또한 웹 공격의 트렌드가 서버 측에서 클라이언트 측으로 이동이 되면서, 공격 원리상 웹 어플리케이션에서 높은 확률로 취약점이 발견이 되고 있습니다. 이에 따라 XSS 공격의 중요성과 관심이 높이 올라가고 있습니다. 


이 강의만의 특장점! ✨
다른 웹 해킹 강의와 어떻게 다를까요?

단언컨대, 이런 방식의 교육은 없을 거라 자부합니다!

대부분의 웹 해킹 교육 및 서적에서는 공격에 대한 기본적인 개념에 대해서만 설명하기 마련입니다.
그러나 본 강의는 기본 개념부터 공격 원리, 그리고 무엇보다 중요한 ‘어떤 프로세스로 공격 절차를 거쳐야하는지’에 대해 보다 체계적으로 학습하실 수 있습니다.


학습 내용 📚

섹션 1. XSS 공격에 대한 이해

XSS 공격에 대한 기본적인 개념과 원리에 대해 알아봅니다. 또한 XSS 공격을 통해 무엇을 할 수 있으며, 실무 관점에서는 어떻게 활용이 되며 한계점은 무엇인지에 대해 살펴봅니다.

섹션 2. XSS 공격을 위한, 자바스크립트에 대한 이해

원활한 XSS 공격을 위해, 공격에 사용되는 프로그래밍 언어인 자바스크립트(JavaScript)에 대해서 살펴봅니다. 자바스크립트에 대한 세세한 이해보다는 XSS 공격에 쓰이는 기본적인 개념을 중심으로 배우게 됩니다.

섹션 3. 공격 기법의 종류와 공격 원리 상세 분석

XSS 공격 기법인 DOM-Based XSS, Reflected XSS, Stored XSS의 개념과 원리에 대해 살펴보고, 어떤 차이점으로 인해 이러한 공격 기법이 분류되는지 자세히 알아봅니다.

해당 섹션을 학습하고 나면, 위와 같은 XSS 공격 기법에 대한 구분과 판단을 정확하게 할 수 있게 됩니다. 특히, Dom-Based XSS와 Reflected XSS 공격을 구분하지 못하는 분들은 많은 도움이 될 것입니다.

섹션 4. 공격 상세 방법론

자세한 내용은 강의에서 확인해주세요!

해당 섹션은 본 강의의 핵심 내용으로, 기존의 도서나 교육에서는 볼 수 없는 공격 방법론입니다. 어떻게 공격에 접근해야 할지, 특정한 상황 및 환경에선 어떻게 공격을 해야 하는지 알아야 제대로 공격을 할 수 있습니다.

뿐만 아니라, 공격 시 반드시 알아둬야 할 팁에 대해서 배울 수 있습니다.

섹션 5. 검증 로직에 따른 각종 우회 기법

검증 로직에 따라 어떻게 우회를 해야 하는지에 대한 다양한 방법들을 살펴봅니다. XSS 공격 특성상 여러 가지 우회 기법이 존재하지만, 이번 섹션에서는 그중에서도 특히 실무에서 많이 사용되는 기술에 대해 다루게 됩니다.

섹션 6. 세션 하이재킹 공격에 대한 원리 이해와 공격 실습

XSS 공격을 통해 할 수 있는 공격 중 하나인, 세션 하이재킹(Session Hijacking) 공격에 대해 살펴봅니다. 세션 하이재킹 공격에 대한 개념과 공격 원리 그리고 공격 실습을 진행합니다.

섹션 7. 키로깅 공격에 대한 원리 이해와 공격 실습

XSS 공격을 통해 할 수 있는 공격 중 하나인, 키로깅(Key Logging) 공격에 대해 살펴봅니다. 키로깅 공격에 대한 개념과 공격 원리 그리고 공격 실습을 진행합니다.

섹션 8. 실무 진단 시 주의사항

이번 섹션에서는 많은 진단자들이 취약점 진단을 할 때 실수하는 부분이기도 한, 실무 진단 시 주의할 여러 가지 사항에 대해서 살펴봅니다.

섹션 9. 대응 방안

자세한 내용은 강의에서 확인해주세요!

공격뿐만 아니라 대응 방안에 대해서도 반드시 알아야 진정한 정보보안 전문가라고 할 수 있습니다. 

마지막 섹션에서는 XSS 공격에 대한 방어를 하기 위해 필요한 시큐어 코딩 방법과 보안 라이브러리 사용에 대해 살펴봅니다. 또한, 세션 하이재킹 공격을 방어하기 위한 방법에 대해서도 살펴봅니다.


예상 질문 Q&A 💬

Q. 강의 수강 전 알고 있어야 할 것들이 있나요?

웹 기초 관련 지식이 있으면 도움이 됩니다. 제 강의 중 다음 강의를 먼저 수강하시는 걸 추천드립니다.

반드시 알고 넘어가야 할 웹 기술 기초편
HTTP, WWW, 쿠키/세션 등 필수 지식을 한번에.

Q. 정보보안 관련 지식이 없는 비전공자 혹은 학생인데, 수강해도 될까요?

위에도 언급했듯 웹 기초 강의를 수강하신다면 무리 없이 수강하실 수 있습니다. 또한 약간의 프로그래밍 지식이 있다면 학습에 많은 도움이 될 수 있습니다.

Q. "웹 개발자와 정보보안 입문자들이 반드시 알아야 될, 웹 해킹과 보안 그리고 시큐어 코딩" 강의에서 다루는 XSS 공격 내용과 본 강의의 차이점은 무엇인가요?

언급하신 강의에도 XSS 관련 내용을 다루지만, 기존 교육이나 도서에서 언급하는 수준의 내용을 학습하게 됩니다. 본 강의에서는 공격에 대해 어떻게 진단을 해야 될지 방법론적인 부분과 프로세스들을 자세히 배울 수 있습니다.

웹 해킹과 보안 그리고 시큐어 코딩
웹 해킹을 재미있게 시작하고 싶다면!

Q. 정보보안 실무자도 들어도 될까요?

당연합니다. 오히려 더 많은 도움이 되실 겁니다. 그동안의 제 강의로 이 부분은 이미 입증이 되었을 것이라 봅니다. ^^

크리핵티브의 더 많은 강의가 궁금하다면? (클릭)


필수 시청 강좌 💡

반드시 알고 넘어가야 할 웹 기술 기초편 
웹 기술 기초를 익힐 수 있는 강좌
 
웹 해킹과 모의해킹 현업에 대한 이야기 
웹 해킹을 배우기 위한 입문 단계

※ 본 교육 PPT에는 네이버에서 제공한 나눔글꼴이 적용되어 있습니다. 

이런 분들께 추천드려요!

🎓
학습 대상은
누구일까요?
정보보안 입문자
정보보안 전문가
웹 개발자
📚
선수 지식,
필요할까요?
웹 기초
프로그래밍 기초

안녕하세요
크리핵티브 입니다.
크리핵티브의 썸네일

:: 국내 정보보안 솔루션 개발 기업 재직 ::
- 앱 위변조 방지 솔루션 : 미들웨어 담당 / 해킹 대회 운영진 / 국내 유명 해킹/방어 훈련장 제작

:: 국내 정보보안 전문 업체 재직 ::
- 블랙박스 모의해킹 / 시나리오 기반 모의해킹 / 웹 취약점 진단 / 모바일 취약점 진단 / 소스코드 취약점 진단 / APT 모의 훈련 / DDoS 모의훈련 / 인프라 진단 / 스마트 가전 진단
- 국내 대기업, 중소기업 다수 진단

:: 외부 교육 및 활동 ::
- 멀티캠퍼스, 국가 보안 기술 연구소(ETRI)
- 국내 정보보안 업체 : 재직자 대상 "웹 모의해킹 심화 교육" 진행중
- 해커팩토리 문제 제작

:: 취약점 발견 ::

1) Web Application Server 취약점
- TMAX JEUS : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
- IBM WebSphere(CVE-2020-4163) : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)

2) CMS(Contents Management System) 취약점
- 네이버 스마트에디터 : 파일 업로드 취약점
- 그누보드 : SQL Injection , 파일 업로드 취약점(그누보드4, 그누보드5), XSS ...
- 킴스큐 : 파리미터 변조 취약점 , 파일 업로드 취약점

* 이메일 : crehacktive3@naver.com
* 블로그 : http://www.crehacktive.co.kr

커리큘럼 총 69 개 ˙ 9시간 14분의 수업
이 강의는 영상, 수업 노트, 첨부 파일, 미션이 제공됩니다. 미리보기를 통해 콘텐츠를 확인해보세요.
섹션 0. 교육 프롤로그
교육 소개 09:07
Bitnami WAMP 설치 및 실행 13:12
PHP 설정 10:51
MYSQL 환경 변수 설정 05:59
가상 환경 및 실습 예제 환경 세팅 04:47
섹션 1. XSS 공격에 대한 이해
XSS 공격이란 무엇인가? 미리보기 10:12
공격 원리 분석을 통한 XSS 의미 이해 06:42
공격 대상 03:49
공격 유형 09:53
XSS 공격이 주목 받는 이유 미리보기 04:27
실무 관점에서의 XSS 공격 활용 12:41
섹션 2. XSS 공격을 위한 자바스크립트에 대한 이해
왜 자바스크립트여야 되는가? 미리보기 02:08 자바스크립트란 무엇인가?! 미리보기 03:05
[실습2-1] 자바스크립트 기본 문법 실습 18:41
자바스크립트 실행 방법 05:08
[실습2-2] 자바스크립트 실행 실습 05:27
[실습2-3] 자바스크립트를 통한 구구단 계산기 11:26
섹션 3. 공격 기법의 종류와 공격 원리 상세 분석
공격 기법의 종류 미리보기 02:08
경고창을 이용한 공격 가능 여부 점검 03:41
DOM-BASED XSS 공격 원리 분석 10:16
[실습3-1] DOM-BASED XSS 공격 실습 13:26
REFLECTED XSS 공격 원리 분석 04:47
[실습3-2] REFLECTED XSS 공격 실습 05:03
STORED XSS 공격 원리 분석 05:59
[실습3-3] STORED XSS 공격 실습 04:44
공격 기법 차이점 03:19
섹션 4. 공격 상세 방법론
공격 프로세스 05:44
공격 대상 탐색 및 공격 선택 06:46
공격 대상 탐색 시 반드시 알아둬야 할 팁 05:24
[실습4-1] 입력, 수정 기능에 따른 스크립트 실행 실습 06:14
출력 포지션 파악 08:10
[실습4-2] 출력 포지션에 따른 스크립트 실행 여부 실습 06:18
공격 가능 여부 분석 15:41
[실습4-3] XSS 공격 실습 - 1 11:25
[실습4-4] XSS 공격 실습 - 2 05:00
[미션] 게시판 취약점 찾기 & 예제 풀이 01:13
섹션 5. 검증 로직에 따른 각종 우회 기법
검증 로직에 대한 이해와 분석법 10:56
우회 기법 - 1 07:37
우회 기법 - 2 09:32
우회 기법 - 3 07:49
우회 기법 - 4 03:16
우회 기법 - 5 05:31
우회 기법 - 6 08:48
우회 기법 - 7 09:04
우회 기법 - 8 09:58
섹션 6. 세션 하이재킹 공격에 대한 원리 이해와 공격 실습
세션 하이재킹에 대한 이해 03:07
공격 원리 분석 06:56
공격을 위한 준비 사항 04:53
[실습6-1] 세션 하이재킹 웹 어플리케이션 제작 14:34
[실습6-2] STORED XSS를 통한 세션 하이재킹 공격 실습 15:01
[실습6-3] REFLECTED XSS를 통한 세션 하이재킹 공격 실습 16:44
섹션 7. 키로깅 공격에 대한 원리 이해와 공격 실습
키로깅에 대한 이해 01:16
공격 원리 분석 02:58
공격을 위한 준비 사항 01:13
[실습7-1] 키로깅 웹 어플리케이션 제작 14:33
[실습7-2] 키로깅 공격 실습 10:31
섹션 8. 실무 진단 시 주의사항
실무 진단 시 주의사항 01:15
주의사항 - 1 08:13
주의사항 - 2 03:43
주의사항 - 3 03:23
섹션 9. 대응 방안
대응하기 까다로운 XSS 취약점 04:28
입력 값 용도에 따른 대응 프로세스 수립 10:40
정규 표현식을 통한 입력 값 검증 06:40
보안 라이브러리 04:28
HTML Entity Encoding 07:22
[실습9-1] 가상 환경 취약점 찾기 미션 풀이 14:50
[실습9-2] 가상 환경 시큐어 코딩 적용 실습 31:12
세션 하이재킹 대응 방안 09:07
[실습9-3] 세션 하이재킹 공격 대응 실습 21:47
강의 게시일 : 2021년 06월 01일 (마지막 업데이트일 : 2022년 12월 19일)
수강평 총 30개
수강생분들이 직접 작성하신 수강평입니다.
4.9
30개의 수강평
5점
4점
3점
2점
1점
VIEW 추천 순 최신 순 높은 평점 순 낮은 평점 순 평점 순 높은 평점 순 낮은 평점 순
Jeong Seob Lee thumbnail
5
믿고 보는 크리핵티브 강사님 강의~ 많은 것을 배울 수 있었습니다 감사합니다~ sql injection part3 강의는 언제쯤 만날 수 있을까요?
2021-07-02
지식공유자 크리핵티브
올해 안으로는 꼭 개설될 수 있도록 노력해보겠습니다. 감사합니다.
2021-07-10
MonsTer thumbnail
5
친절한 설명이에요 감사합니다.
2023-11-09
배희준 thumbnail
5
이분 강의는 믿고 듣습니다 진짜 모든 강의 다 구매할 만큼 너무 좋게 잘 듣고 있습니다!! 알차고 귀한 내용 열심히 알려주셔서 감사합니다!!
2021-12-27
몽상가 thumbnail
5
처음 시작하는 초입문자를 위해 하나하나 세심하게 설명해주시는것이 너무 감사한 마음입니다^^
2022-10-02
고광우 thumbnail
5
역시 명불허전 입니다. 초입자들을 위한 자세한 설명이 있지만, 그 내용은 절대 가볍지 않습니다. 세세한 설명과 실습을 통해 현장에서도 언제든지 적용가능한 알찬 내용으로 이루어져 있습니다. 솔직히 강의를 듣기위해 지불하는 비용에 비해 얻어가는 것이 더 많은 강의라고 생각합니다.
2023-06-03