성장의 계절, 모든 강의 30% 할인!

Thumbnail
진짜 시작, 봄맞이 30% 할인 중(D-8)
BEST
보안 · 네트워크 보안

모의해킹 실무자가 알려주는, 파일 업로드 취약점 공격 기법과 실무 사례 분석 : PART 1 대시보드

(5)
42개의 수강평 ∙  617명의 수강생

30%

61,600원

88,000원
지식공유자: 크리핵티브
총 111개 수업 (15시간 39분)
수강기한: 
무제한
수료증: 발급
난이도: 
입문
-
초급
-
중급이상
지식공유자 답변이 제공되는 강의입니다
폴더에 추가 공유

초급자를 위해 준비한
[보안] 강의입니다.

웹 해킹의 끝판 대장! 파일 업로드 취약점 공격 기법! 기존의 알려진 방법과 전혀 다른 접근 방법을 통해 교육생의 웹 해킹 실력을 한층 스킬업! 시킬 수 있는 교육입니다!

✍️
이런 걸
배워요!
파일 업로드 기능 동작 원리
파일 업로드 취약점 원리
웹쉘에 대한 이해와 동작 원리
파일 업로드 취약점 공격 방법론
파일 업로드 취약점 시큐어 코딩 기법
실무 공격 기법

📖 모의해킹 실무자가 알려주는, 파일 업로드 취약점 공격 시리즈!

  • PART(1) : 기초 / 실무 공격 / 시큐어 코딩 ◀ 현재 강좌
    파일 업로드 취약점 공격에서 가장 중요한 내용인, 기존에 알려진 방법과 전혀 다른 접근 방법의 공격 프로세스에 대해 자세히 다루는 교육이며, 공격의 기초 지식부터 실무에서 사용되는 우회 기법들과 실무 사례 분석, 그리고 다양한 대응 방안과 시큐어 코딩을 배울 수 있습니다. 이후 진행될 교육의 기본이 되는 필수 교육입니다.
  • PART(2) : 고급 공격 기법 / 실무 심화 분석
    PART(1)에서 다루지 않은 고급 공격 기법들과 웹 방화벽(Web Application Firewall) 우회 기법들을 교육하며, 실무 환경에서 사용된 테크니컬한 기법들을 실습을 통해 분석하는 교육입니다. 
  • SKILL-UP : 웹쉘 난독화 기법
    오늘날의 웹 환경에서 웹쉘 탐지 솔루션을 사용하는 곳이 점차 늘어나고 있으며, 이에 따라 진단자들은 웹쉘 탐지 솔루션을 우회하기 위한 스킬 정도는 가지고 있어야 합니다. 때문에 실무자들에게는 필수적인 교육이 될 것입니다.

 

📖 파일 업로드 취약점?! 도대체 이게 먼데!?

파일 업로드 취약점은 웹쉘(WebShell)이라는 공격용 악성 스크립트를 이용하여 서버를 장악하는 공격 기법으로 장악된 서버 한 군데서 끝나는 것이 아니라, 내부 네트워크 범위까지 침투가 가능하게 만드는 그러한 공격입니다. 정말 어마 무시한 공격입니다!

 

 

📖 왜 파일 업로드 취약점 공격을 배워야 할까?

오늘날의 웹 환경에서 파일 업로드 기능은 필수적인 기능입니다. 우리가 자주 사용하는 웹 사이트는 대부분 파일 업로드 기능을 가지고 있습니다! 이러한 기능에서 공격용 악성 스크립트인 웹쉘이 업로드가 된다면 어떻게 될까요?! 

수많은 악의적인 해커(Black Hacker)들은 이러한 공격 기법을 통해 공격한 웹 서버를 경유하여 내부까지 침투 그리고 직원들에게 악성코드를 배포, 랜섬웨어 배포, 내부 기밀 정보 탈취, 고객 개인 정보 탈취 등 악의적인 행위의 끝을 일삼을 수 있게 만드는 무서운 공격입니다! 정말 끔찍합니다... 

 

이러한 영향력으로 인해서, 많은 기업들은 "파일 업로드 취약점"에 대해서 민감할 수밖에 없으며, 실무자들 사이에서는 "끝판 대장"이라는 타이틀까지 거머지게 된 공격 기법입니다! 

웹 해킹을 직접하시거나 방어를 하신다면 꼬~~~옥 알아야 되는 거 이제 알겠쥬? ㅡ.,ㅡ;;

 

 

📖 왜 굳이 이 교육을 들어야 할까?

지금 이 글을 읽으시는 분들은 다음과 같은 카테고리일 것입니다.

  • 웹 해킹을 막 시작하시는 입문자
  • 웹 해킹을 막 공부 ~ 쭉 공부한 초/중급자
  • 보안 학원에서 졸업한 취준생
  • 실무에서 진단을 하고 계시는 진단자(컨설턴트)

한 문장으로 말씀드리고 싶습니다.

"모든 분들에게 도움이 됩니다."

실무 진단 시 제일 집요하게 파고드는 공격으로, 제가 개인적으로 제일 좋아하는 공격입니다.
제가 그동안 경험한 노하우를 여러분에게 공유하고 싶습니다.

 

 

📖 자세한 공격 원리 분석을 통해
입문자들 또한 쉽게 다가갈 수 있는 교육!

파일 업로드 기능 동작 원리, 파일 업로드 취약점 원리 기초부터 단단히 다지며 교육이 진행되며,
입문자분들도 쉽게 이해할 수 있도록 단계 별로 자세히 살펴봅니다.

 

 

📖 웹쉘 동작 원리에서부터
직접 웹쉘 제작까지 실습!

파일 업로드 취약점 공격의 핵심 "웹쉘"에 대해서 기본 개념, 동작 원리 그리고 직접 제작하는 실습까지 진행됩니다. 웹쉘에 대한 이해는 필수입니다!

 

 

📖 실무 사례 분석을 통해 SKILL-UP~!!!

실무 사례 12가지를 통해 실무적인 관점까지 넓힐 수 있으며, 제공되는 가상 환경을 직접 실습하며 기술을 자기 것으로 만드실 수 있습니다!

 

 

📖 실습을 위한 가상 실습 환경 제공!

가상 실습 환경이 JSP, PHP 총 18개가 제공됩니다!

 

 

📖 따라하면서 배우는 시큐어 코딩!
시큐어 코딩 기술도 향샹!

진단자들은 공격에 강하지만 방어에 약한 모습을 많이 볼 수 있습니다. 이는 언어에 대한 진입 장벽으로 인해 생긴 현상과 시큐어 코딩에 대한 이해 부족입니다. 실습을 통해 그러한 장벽을 무너뜨릴 수 있습니다!

 

 

📖 교육을 통한 기대 효과

  • 파일 업로드 취약점에 대한 개념 전환
  • 올바른 공격 가이드 라인
  • 새로운 방향의 관점을 통한 실력 향상
  • 공격 기술 뿐만 아니라 방어 기술까시 습득!

 

 

🛠 여기서 다루는 프로그램

  • Burp Suite
  • APMSetup
  • Tomcat

※ Burp Suite 사용 방법은 본 교육에서는 다루지 않으며, "웹 해킹과 모의해킹 현업에 대한 이야기" 교육에서 기본적인 사용 방법을 참고하시면 됩니다.

 

 

💡 필수 시청 강좌

반드시 알고 넘어가야 할 웹 기술 기초편 
웹 기술 기초를 익힐 수 있는 강좌
웹 해킹과 모의해킹 현업에 대한 이야기
웹 해킹을 배우기 위한 입문 단계

※ 본 교육 PPT에는 네이버에서 제공한 나눔글꼴이 적용되어 있습니다. 

이런 분들께 추천드려요!

🎓
학습 대상은
누구일까요?
웹 해킹 입문자에서부터 고급자 모두
실무자
파일 업로드 취약점 공격 기법에 대해 자세히 알고 싶은 분
📚
선수 지식,
필요할까요?
웹 기초
웹 해킹 기초

안녕하세요
크리핵티브 입니다.
크리핵티브의 썸네일

:: 국내 정보보안 솔루션 개발 기업 재직 ::
- 앱 위변조 방지 솔루션 : 미들웨어 담당 / 해킹 대회 운영진 / 국내 유명 해킹/방어 훈련장 제작

:: 국내 정보보안 전문 업체 재직 ::
- 블랙박스 모의해킹 / 시나리오 기반 모의해킹 / 웹 취약점 진단 / 모바일 취약점 진단 / 소스코드 취약점 진단 / APT 모의 훈련 / DDoS 모의훈련 / 인프라 진단 / 스마트 가전 진단
- 국내 대기업, 중소기업 다수 진단

:: 외부 교육 및 활동 ::
- 멀티캠퍼스, 국가 보안 기술 연구소(ETRI)
- 국내 정보보안 업체 : 재직자 대상 "웹 모의해킹 심화 교육" 진행중
- 해커팩토리 문제 제작

:: 취약점 발견 ::

1) Web Application Server 취약점
- TMAX JEUS : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
- IBM WebSphere(CVE-2020-4163) : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)

2) CMS(Contents Management System) 취약점
- 네이버 스마트에디터 : 파일 업로드 취약점
- 그누보드 : SQL Injection , 파일 업로드 취약점(그누보드4, 그누보드5), XSS ...
- 킴스큐 : 파리미터 변조 취약점 , 파일 업로드 취약점

* 이메일 : crehacktive3@naver.com
* 블로그 : http://www.crehacktive.co.kr

커리큘럼 총 111 개 ˙ 15시간 39분의 수업
이 강의는 영상, 첨부 파일이 제공됩니다. 미리보기를 통해 콘텐츠를 확인해보세요.
섹션 0. 교육 프롤로그
교육 소개 미리보기 10:57 APMSetup 설치 미리보기 07:02
Tomcat 설치와 버프 스위트 서비스 포트 변경 10:46
php.ini 파일 내 magic_quotes_gpc 설정 미리보기 07:30
[추가] 버프스위트에서 원하는 요청,응답만 인터셉트하는 방법과 설정 저장하기 08:22
섹션 1. 파일 업로드 취약점에 대한 이해
파일 업로드 취약점이란 무엇인가? 03:43
웹 해킹의 왕! 파일 업로드 취약점! 미리보기 07:10
최고의 파트너! 파일 다운로드 취약점 03:50
공격 원리 분석 03:47
현재 현업에서의 파일 업로드 취약점 공격 실태 05:06
섹션 2. 파일 업로드 기능에 대한 이해
파일 업로드 기능에 대한 이해와 필요성 미리보기 02:17
파일 업로드 기능과 파일 다운로드 기능 02:07
파일 업로드 기능 구조 03:23
[실습2-1] 직접 제작하면서 배우는 PHP 기반의 파일 업로드 기능에 대한 이해 16:49
[실습2-2] 직접 제작하면서 배우는 JSP 기반의 파일 업로드 기능에 대한 이해 20:31
[실습2-3] 실습을 통해서 배우는 멀티 파트 형식에 대한 이해 07:38
섹션 3. 웹쉘에 대한 이해
웹쉘이란 무엇인가? 미리보기 03:22
파일 업로드 공격의 핵심 도구, 웹쉘 02:41
웹쉘의 종류 06:50
실무 진단 시 웹쉘 사용 주의사항 5가지 13:00
웹쉘을 막기위한, 웹쉘 탐지 솔루션 06:28
언어별 시스템 함수 03:41
[실습3-1] PHP 기반의 웹쉘 제작 1단계 : 심플 웹쉘 제작 13:53
[실습3-2] PHP 기반의 웹쉘 제작 2단계 : 인증 기능 추가 16:29
[실습3-3] JSP 기반의 웹쉘 제작 1단계 : 심플 웹쉘 제작 19:06
[실습3-4] JSP 기반의 웹쉘 제작 2단계 : 인증 기능 추가 13:48
웹쉘 동작 원리 분석 01:50
구간 보안 솔루션에 의한 웹쉘 명령어 요청 차단 시 우회 기법 04:56
[실습3-5] PHP 기반의 웹쉘 제작 3단계 : 구간 보안 솔루션 우회를 위한 기능 추가 14:15
[실습3-6] JSP 기반의 웹쉘 제작 3단계 : 구간 보안 솔루션 우회를 위한 기능 추가 08:10
스킬 업! 축하 드립니다! 03:36
섹션 4. 공격 방법론
공격 프로세스 04:02
공격 대상 탐색 03:36
공격 대상 탐색 CASE(1) 02:34
공격 대상 탐색 CASE(2) 30:21
[실습4-1] 톰캣 매니저를 통한 WAR 디플로이 실습 11:12
환경 분석 04:49
기본 로직 분석 06:47
심화 로직 분석 03:08
검증 로직 우회 - 검증 로직 유형 03:08
확장자 검증(1) 07:20
[실습4-2] 확장자 검증 방식 분석론 방법 11:36
확장자 검증(2) 01:45
[실습4-3] 검증되지 않은 확장자 사용을 통한 확장자 검증 로직 우회 실습 03:28
[실습4-4] JSPX 확장자의 서버 사이드 스크립트에 대한 이해 06:09
확장자 검증(3) 15:19
[실습4-5] 확장자 검증 로직 설계 오류로 인한 보안 결함 악용 실습 17:02
확장자 검증(4) 08:20
[실습4-6] Null Byte 문자를 통한 다양한 환경에서의 검증 로직 우회 기법 실습 17:48
[실습4-7] Null Byte 문자 삽입 공격의 올바른 이해 07:17
[실습4-8] Null Byte 문자 삽입 공격을 막기 위한 시큐어 코딩 적용 11:03
확장자 검증(5) 01:12
확장자 검증(6) 07:20
[실습4-9] WAS 취약점 악용 실습(1) 및 시큐어 코딩 적용 10:26
확장자 검증(7) 08:09
[실습4-10] WAS 취약점 악용 실습(2) 및 시큐어 코딩 적용 11:29
확장자 검증(8) 05:40
[실습4-11] WAS 취약점 악용 실습(3) 및 보안 설정 적용 10:06
이미지 검증(1) 01:58
[실습 4-12] 이미지 업로드 환경 구축 03:41
이미지 검증(2) 02:46
[실습4-13] 이미지 검증 우회 실습(1) 05:41
이미지 검증(3) 03:49
[실습4-14] 이미지 검증 우회 실습(2) 03:58
이미지 검증(3) 02:46
[실습4-15] 이미지 검증 우회 실습(3) 05:27
이미지 검증 대응 방안 03:23
파일 사이즈 검증 09:00
[실습4-16] 파일 사이즈 검증 우회 및 eval 함수 실습 11:27
검증 로직 우회 마무리 03:08
파일 업로드 취약점 공격 기법의 비밀 04:21
심화 로직 분석(1-1) 05:06
심화 로직 분석(1-2) 03:48
심화 로직 분석(1-3) 21:12
심화 로직 분석(1-4) 05:28
심화 로직 분석(1-5) 06:09
심화 로직 분석(1-6) 02:45
심화 로직 분석(2-1) 03:50
심화 로직 분석(2-2) 01:05
심화 로직 분석(2-3) 08:36
심화 로직 분석(2-4) 08:53
심화 로직 분석(2-5) 18:04
[실습4-17] 실습 환경 구축 05:21
[실습4-18] 파일 업로드 취약점 공격 실습-1 03:59
[실습4-19] 파일 업로드 취약점 공격 실습-2 07:00
[실습4-20] 파일 업로드 취약점 공격 실습-3 10:38
[실습4-21] 파일 업로드 취약점 공격 실습-4 06:32
[실습4-22] 파일 업로드 취약점 공격 실습-5 08:54
[실습4-23] 파일 업로드 취약점 공격 실습-6 22:59
웹쉘 업로드 성공 그리고 또 다른 여행의 시작 13:01
파일 업로드 공격을 통한 실무 환경 공격 시나리오 12:36
파일 업로드 공격 마무리 20:50
섹션 5. 실무 사례 분석을 통한 파일 업로드 취약점 공격 실습
실무 사례 분석 그리고 환경 구축 08:49
[실습5-1] 실무 사례 분석-1 10:18
[실습5-2] 실무 사례 분석-2 06:23
[실습5-3] 실무 사례 분석-3 13:44
[실습5-4] 실무 사례 분석-4 18:13
[실습5-5] 실무 사례 분석-5 13:34
[실습5-6] 실무 사례 분석-6 08:21
[실습5-7] 실무 사례 분석-7 15:16
[실습5-8] 실무 사례 분석-8 09:26
[실습5-9] 실무 사례 분석-9 11:11
[실습5-10] 실무 사례 분석-10 07:32
[실습5-11] 실무 사례 분석-11 07:35
[실습5-12] 실무 사례 분석-12 08:12
섹션 6. 대응 방안
취약점 발생 원인과 대응 02:11
상세 대응 방안-1 08:35
상세 대응 방안-2 06:52
[실습5-1] PHP 기반의 파일 업로드 기능 시큐어 코딩 적용 10:58
[실습5-2] JSP 기반의 파일 업로드 기능 시큐어 코딩 적용 25:06
섹션 7. 교육 에필로그
교육을 마치며... 04:32
강의 게시일 : 2020년 04월 21일 (마지막 업데이트일 : 2020년 08월 21일)
수강평 총 42개
수강생분들이 직접 작성하신 수강평입니다.
5
42개의 수강평
5점
4점
3점
2점
1점
VIEW 추천 순 최신 순 높은 평점 순 낮은 평점 순 평점 순 높은 평점 순 낮은 평점 순
Dantejsh thumbnail
5
모의해킹분야 최고의 강의인것같습니다. 업로드가 핵심 공격이라 파트2가 정말 기다려지는데 언제 만나볼수있을까요??.....
2022-03-01
지식공유자 크리핵티브
앞서 강의 제작할 것들이 많이 있어서 어쩔 수 없이 일정이 밀리게 되었습니다ㅠ 하반기에는 꼭 완성될 수 있도록 하겠습니다.
2022-03-02
whtjdals thumbnail
5
너무너무 좋아요
2020-05-14
지식공유자 크리핵티브
좋은 수강평 너무너무 감사합니다! 즐거운 하루 보내세요~!
2020-05-14
에스지시큐리티컨설팅 thumbnail
5
정말 많이 도움되는 수업들이었습니다. 감사합니다.
2020-06-23
지식공유자 크리핵티브
많은 도움이 되셨다니 정말 다행입니다! 좋은 수강평 너무 감사합니다.^^
2020-06-24
jm0440 thumbnail
5
좋습니다.
2020-06-02
지식공유자 크리핵티브
5점 수강평! 너무 감사합니다! 즐거운 하루 보내세요~!
2020-06-02
sim_sw thumbnail
5
좋은강의입니다
2023-12-11
연관 로드맵
이 강의가 포함된 잘 짜여진 로드맵을 따라 학습해 보세요!