강의

N
챌린지

멘토링

로드맵

Inflearn brand logo image
Security & Network

/

Computer Security

File Upload Vulnerability Advanced Attack Techniques PART2 [Integrated Edition]

The ultimate web hacking! File upload vulnerability attack technique! Part 2 of the 'Part 1' education follows Part 1 and covers more advanced techniques.

(4.9) 7 reviews

109 learners

  • crehacktive
해킹
모의해킹
Penetration Testing
Java
Web Shell
Offensive Security

What you will learn!

  • Understanding the Java File Upload Library

  • Potential security threat to Java file upload library

  • Understanding Web Firewalls

  • Web Firewall Bypass Technology

  • Understanding different environments

  • Webshell Upload Attack Methods in Various Environments

💡 Please check before taking the class!

  • This course is part 2 of the "Advanced File Upload Vulnerability Attack Techniques" (Part 2-1 + Part 2-2 + Part 2-3) course. If you'd like to take the course in separate sections, please refer to the course introductions for [PART2-1] / [PART2-2] / [PART2-3] !

Something you can't hear anywhere else
I included it in the lecture!

There are many avenues for learning web hacking today. Whether it's online courses like Inflearn, offline academies, or search engines, most of the common avenues tend to focus on general information. However, this course is different. We pride ourselves on offering content you won't find anywhere else !

File Upload Vulnerability Attack Part 2-1
Check out the learning content!

Upload verification logic is known to be safe, but is it really safe?

The source code below is known to be safe from file upload vulnerabilities. So, is it really safe? 

 ...
String path = request.getRealPath( "/upload" );
MultipartRequest multi = new MultipartRequest (request, path, 1024 * 10 * 10 , "UTF-8" );
Enumeration formNames = multi.getFileNames();
while (formNames.hasMoreElements()) {
    String param = (String)formNames.nextElement();
    String uploadFile = multi.getFilesystemName(param);
    int extOffset = uploadFile.lastIndexOf( "." );
    String fileExt = uploadFile.substring(extOffset+ 1 ).toLowerCase();
    if (!fileExt.equals( "jpg" ) && !fileExt.equals( "png" ) && !fileExt.equals( "gif" )) {
        File fp = new File (path, uploadFile);
        fp.delete();
        out.println(“ <script>alert(‘잘못된 확장자’);history.back(-1);</script> ");
        return;
    }
}
...

No, the source code is 'vulnerable' .
Why this code is vulnerable and how to exploit it are covered in detail in Part 2-1 of the lecture.

Want to know more? 📚

Understanding Cases by File Upload Library

We analyze each file upload library, covering potential security threats and various case scenarios.

Methodology and Practice Based on Security Threats

We explore potential security threats and practice attacks for a variety of scenarios.

File Upload Vulnerability Attack Part 2-2
Check out the learning content!

Web Firewall Bypass Techniques Case Study

Learn about various web firewall bypass techniques and practice using these attack techniques.

File Upload Vulnerability Attack Part 2-3
Check out the learning content!

This article details the directory parsing vulnerability found in JEUS and WebSphere, examining why it poses a threat today and the attack methodology behind it. (IBM WebSphere CVE-2020-4163)

Let's take a closer look at various other environments and cases.

This is not a lecture that tells you the correct answer.
This is a lecture that will broaden your perspective!

"File Upload Vulnerabilities Part 2" consists of three lectures designed to successfully exploit file upload vulnerabilities in various environments. However, this lecture does not provide the answers. Taking this course does not guarantee successful file upload vulnerability exploits in all environments.

The goal of this lecture isn't to provide the right answers, but to broaden your perspective . By learning about how vulnerabilities can arise in various environments, you'll gain the insight, "Oh, I can try this too!" Furthermore, you'll be able to analyze future assessments knowing that various environments exist. Analyzing with this understanding is a world of difference.

I hope this course will give you a solid perspective on web hacking and lay the foundation for taking your skills to the next level!

Expected Questions Q&A 💬

Q. Is there anything I should know before taking the course?

You must have an understanding of 'file upload vulnerabilities'. Additionally, If you're familiar with the material covered in Part 1 , you'll likely be able to take Part 2 smoothly. Of course, those with a strong understanding of "file upload vulnerabilities" should have no trouble taking the course.

Q. Who is eligible to take the course?

We recommend this course to those with practical experience. Those with a solid understanding of web hacking theory or job seekers can also take the course.

Q. Do I have to take 'File Upload Vulnerability Attack Part 1' ?

I highly recommend taking this course. Even if you understand file upload vulnerabilities, if you don't understand Part 1, you may find some parts of Part 2 unclear. Therefore, even if you're a professional, I recommend taking Part 1 first before taking Part 2.

Q. Part 2 is divided into three parts. Do I have to take them all?

You don't have to take all three courses. However, if you want to learn attack methodologies for a variety of practical environments, I highly recommend taking all three.

Q. Should I take Part 2 in the order of Part 3?

You don't have to do this; you can take the courses you want first. However, since the three lectures were produced sequentially, we recommend taking them sequentially for better flow.

Things to note before taking the course 📢

We recommend taking this course with a basic understanding of web technologies and web hacking. We also recommend taking "File Download Vulnerability Exploitation" and "File Upload Vulnerability Exploitation Part 1" from Creative's web hacking lecture series.

Recommended for
these people

Who is this course right for?

  • Practitioners who perform simulated hacking or vulnerability diagnostics in the field

  • job seeker

Need to know before starting?

  • web technology

  • Web Hacking Basics

  • File Download Vulnerability Knowledge

  • File Upload Vulnerability Knowledge

Hello
This is

25,881

Learners

1,361

Reviews

497

Answers

4.9

Rating

18

Courses

:: 국내 정보보안 솔루션 개발 기업 재직 ::
- 앱 위변조 방지 솔루션 : 미들웨어 담당 / 해킹 대회 운영진 / 국내 유명 해킹/방어 훈련장 제작

:: 국내 정보보안 전문 업체 재직 ::
- 블랙박스 모의해킹 / 시나리오 기반 모의해킹 / 웹 취약점 진단 / 모바일 취약점 진단 / 소스코드 취약점 진단 / APT 모의 훈련 / DDoS 모의훈련 / 인프라 진단 / 스마트 가전 진단
- 국내 대기업, 중소기업 다수 진단

:: 외부 교육 및 활동 ::
- 멀티캠퍼스, 국가 보안 기술 연구소(ETRI)
- 국내 정보보안 업체 : 재직자 대상 "웹 모의해킹 심화 교육" 진행중
- 해커팩토리 문제 제작

:: 취약점 발견 ::

1) Web Application Server 취약점
- TMAX JEUS : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
- IBM WebSphere(CVE-2020-4163) : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)

2) CMS(Contents Management System) 취약점
- 네이버 스마트에디터 : 파일 업로드 취약점
- 그누보드 : SQL Injection , 파일 업로드 취약점(그누보드4, 그누보드5), XSS ...
- 킴스큐 : 파리미터 변조 취약점 , 파일 업로드 취약점

* 이메일 : crehacktive3@naver.com
* 블로그 : http://www.crehacktive.co.kr

Curriculum

All

72 lectures ∙ (6hr 10min)

Course Materials:

Lecture resources
Published: 
Last updated: 

Reviews

All

7 reviews

4.9

7 reviews

  • hskim0001님의 프로필 이미지
    hskim0001

    Reviews 3

    Average Rating 5.0

    5

    31% enrolled

    • sonasup3719님의 프로필 이미지
      sonasup3719

      Reviews 7

      Average Rating 4.3

      4

      31% enrolled

      • sj331님의 프로필 이미지
        sj331

        Reviews 3

        Average Rating 5.0

        5

        31% enrolled

        • jeonghyeonjang6559님의 프로필 이미지
          jeonghyeonjang6559

          Reviews 3

          Average Rating 5.0

          5

          61% enrolled

          • hopefordream님의 프로필 이미지
            hopefordream

            Reviews 17

            Average Rating 4.8

            5

            100% enrolled

            良い講義でした〜

            $84.70

            crehacktive's other courses

            Check out other courses by the instructor!

            Web開発者と情報セキュリティの入門者が必ず知っておくべきWebハッキング&セキュアコーディングCourse Thumbnail

            Web開発者と情報セキュリティの入門者が必ず知っておくべきWebハッキング&セキュアコーディング

            crehacktive

            情報セキュリティ入門者とWeb開発者のためのWebハッキング入門講義!今回の講義をはじめ、Webハッキングを楽しく始めましょう!

            Basic

            Basic

            Penetration Testing, Injection

            Web開発者と情報セキュリティの入門者が必ず知っておくべきWebハッキング&セキュアコーディングCourse Thumbnail

            Web開発者と情報セキュリティの入門者が必ず知っておくべきWebハッキング&セキュアコーディング

            crehacktive

            模擬ハッキングの実務家が知らせる、SQL Injection Advanced Attack Technology:PART 2Course Thumbnail

            模擬ハッキングの実務家が知らせる、SQL Injection Advanced Attack Technology:PART 2

            crehacktive

            模擬ハッキングの実務者が教えてくれる、SQL Injection 2番目の講義!

            Intermediate

            Intermediate

            Penetration Testing, Injection

            模擬ハッキングの実務家が知らせる、SQL Injection Advanced Attack Technology:PART 2Course Thumbnail

            模擬ハッキングの実務家が知らせる、SQL Injection Advanced Attack Technology:PART 2

            crehacktive

            模擬ハッキングの実務者が知らせる、ファイルアップロードの脆弱性攻撃のテクニックと実務事例の分析:パート1Course Thumbnail

            模擬ハッキングの実務者が知らせる、ファイルアップロードの脆弱性攻撃のテクニックと実務事例の分析:パート1

            crehacktive

            ウェブハッキングのエンドプレート隊長! ファイルアップロードの脆弱性攻撃技法!

            Basic

            Basic

            Penetration Testing

            模擬ハッキングの実務者が知らせる、ファイルアップロードの脆弱性攻撃のテクニックと実務事例の分析:パート1Course Thumbnail

            模擬ハッキングの実務者が知らせる、ファイルアップロードの脆弱性攻撃のテクニックと実務事例の分析:パート1

            crehacktive

            Skill-Up! Webシェル検出ソリューションをバイパスするためのWebシェル難読化技術Course Thumbnail

            Skill-Up! Webシェル検出ソリューションをバイパスするためのWebシェル難読化技術

            crehacktive

            WebシェルとWebシェル検出ソリューションの基本的な理解と迂回のための攻撃方法と難読化技術!

            Basic

            Basic

            Penetration Testing, Web Shell

            Skill-Up! Webシェル検出ソリューションをバイパスするためのWebシェル難読化技術Course Thumbnail

            Skill-Up! Webシェル検出ソリューションをバイパスするためのWebシェル難読化技術

            crehacktive

            無作為に従い、原理を覚醒させるウェブハッキング:WebGoat編Course Thumbnail

            無作為に従い、原理を覚醒させるウェブハッキング:WebGoat編

            crehacktive

            WebGoatの問題解決を通じて無作為に追いつきながら学び、身につけ、原理を把握できるWebハッキング講義!

            Basic

            Basic

            Penetration Testing, WebGoat

            無作為に従い、原理を覚醒させるウェブハッキング:WebGoat編Course Thumbnail

            無作為に従い、原理を覚醒させるウェブハッキング:WebGoat編

            crehacktive

            ファイル アップロード 취약点 高級攻撃手法 PART2-3 : さまざまな実務環境での攻撃方法論Course Thumbnail

            ファイル アップロード 취약点 高級攻撃手法 PART2-3 : さまざまな実務環境での攻撃方法論

            crehacktive

            ウェブハッキングの最終兵器!ファイルアップロード脆弱性攻撃手法!パート1に続き、パート2「第3弾」の教育では、より高度な上級手法について取り上げます。

            Intermediate

            Intermediate

            Penetration Testing

            ファイル アップロード 취약点 高級攻撃手法 PART2-3 : さまざまな実務環境での攻撃方法論Course Thumbnail

            ファイル アップロード 취약点 高級攻撃手法 PART2-3 : さまざまな実務環境での攻撃方法論

            crehacktive

            ファイル アップロード脆弱性高度攻撃手法 PART2-1:ファイル アップロード ライブラリ分析と攻撃方法論Course Thumbnail

            ファイル アップロード脆弱性高度攻撃手法 PART2-1:ファイル アップロード ライブラリ分析と攻撃方法論

            crehacktive

            ウェブハッキングの最終兵器!ファイルアップロード脆弱性攻撃手法!パート1に続き、パート2「1編」の教育では、より高度な上級手法について説明します。

            Intermediate

            Intermediate

            Penetration Testing

            ファイル アップロード脆弱性高度攻撃手法 PART2-1:ファイル アップロード ライブラリ分析と攻撃方法論Course Thumbnail

            ファイル アップロード脆弱性高度攻撃手法 PART2-1:ファイル アップロード ライブラリ分析と攻撃方法論

            crehacktive

            模擬ハッキング実務者が知らせる、XSS攻撃技法Course Thumbnail

            模擬ハッキング実務者が知らせる、XSS攻撃技法

            crehacktive

            今回の講義では、クライアント攻撃の帝王、XSS(Cross-Site Scripting)について取り上げます。 XSSの基本概念から攻撃原理、そして何より重要などのプロセスで攻撃手順を経なければならないかについて体系的に学習することができます。

            Basic

            Basic

            Penetration Testing, xss

            模擬ハッキング実務者が知らせる、XSS攻撃技法Course Thumbnail

            模擬ハッキング実務者が知らせる、XSS攻撃技法

            crehacktive

            ファイル アップロード脆弱性 高度攻撃手法 PART2-2 : Web ファイアウォール回避のための基本知識とテクニックCourse Thumbnail

            ファイル アップロード脆弱性 高度攻撃手法 PART2-2 : Web ファイアウォール回避のための基本知識とテクニック

            crehacktive

            ウェブハッキングの最終兵器!ファイルアップロード脆弱性攻撃手法!パート1に続き、パート2「第2弾」の教育では、より高度な上級手法について取り上げます。

            Intermediate

            Intermediate

            Penetration Testing

            ファイル アップロード脆弱性 高度攻撃手法 PART2-2 : Web ファイアウォール回避のための基本知識とテクニックCourse Thumbnail

            ファイル アップロード脆弱性 高度攻撃手法 PART2-2 : Web ファイアウォール回避のための基本知識とテクニック

            crehacktive

            実習で学ぶOAuth 2.0の概念原理、そしてハッキングとセキュリティCourse Thumbnail

            実習で学ぶOAuth 2.0の概念原理、そしてハッキングとセキュリティ

            crehacktive

            OAuth 2.0プロトコルのコア理論と実践を通して、動作原理をさらに詳しく見てください。そして、ハッキングとセキュリティの観点からOAuth 2.0プロトコル分析を試してみましょう。

            Intermediate

            Intermediate

            Penetration Testing, OAuth

            実習で学ぶOAuth 2.0の概念原理、そしてハッキングとセキュリティCourse Thumbnail

            実習で学ぶOAuth 2.0の概念原理、そしてハッキングとセキュリティ

            crehacktive

            Skill-Up!Course Thumbnail

            Skill-Up!

            crehacktive

            ファイルアップロードの脆弱性攻撃の重要なツールWebシェル!

            Basic

            Basic

            Web Shell, Bootstrap

            Skill-Up!Course Thumbnail

            Skill-Up!

            crehacktive

            Webハッキングと模擬ハッキングの現状についての話Course Thumbnail

            Webハッキングと模擬ハッキングの現状についての話

            crehacktive

            Webハッキング入門者と関連業務就職準備生のためのWebハッキング入門と模擬ハッキング現業についての話

            Beginner

            Beginner

            Penetration Testing

            Webハッキングと模擬ハッキングの現状についての話Course Thumbnail

            Webハッキングと模擬ハッキングの現状についての話

            crehacktive

            必ず知って超えなければならないウェブ技術基礎編Course Thumbnail

            必ず知って超えなければならないウェブ技術基礎編

            crehacktive

            Web技術の基礎を習得できるコースで、短時間でWeb技術の基礎を習得できます。 Web関連の勉強や就職を希望される方は、必ず本講座を受講してください!

            Beginner

            Beginner

            Penetration Testing

            必ず知って超えなければならないウェブ技術基礎編Course Thumbnail

            必ず知って超えなければならないウェブ技術基礎編

            crehacktive

            安全なウェブサイト作成のための、ウェブセキュリティワンポイントレッスンCourse Thumbnail

            安全なウェブサイト作成のための、ウェブセキュリティワンポイントレッスン

            crehacktive

            この講義では、安全なWebサービスを作成する方法を学ぶことができます。

            Basic

            Basic

            安全なウェブサイト作成のための、ウェブセキュリティワンポイントレッスンCourse Thumbnail

            安全なウェブサイト作成のための、ウェブセキュリティワンポイントレッスン

            crehacktive

            模擬ハッキングの実務者が知らせる、ファイルのダウンロードの脆弱性攻撃のテクニックと実務事例の分析Course Thumbnail

            模擬ハッキングの実務者が知らせる、ファイルのダウンロードの脆弱性攻撃のテクニックと実務事例の分析

            crehacktive

            Webハッキング入門者から実務者まで簡単にフォローできるファイルダウンロードの脆弱性攻撃技術! 実務で使われるファイルのダウンロード 脆弱性攻撃技法と深化攻撃技法!そしてセキュアコーディングの適用方法!

            Basic

            Basic

            Penetration Testing

            模擬ハッキングの実務者が知らせる、ファイルのダウンロードの脆弱性攻撃のテクニックと実務事例の分析Course Thumbnail

            模擬ハッキングの実務者が知らせる、ファイルのダウンロードの脆弱性攻撃のテクニックと実務事例の分析

            crehacktive

            模擬ハッキングの実務家が知らせる、SQLインジェクション攻撃技術とセキュアコーディング:PART 1Course Thumbnail

            模擬ハッキングの実務家が知らせる、SQLインジェクション攻撃技術とセキュアコーディング:PART 1

            crehacktive

            模擬ハッキングの実務家が知らせる、Webハッキングの花SQLインジェクション!攻撃と防御を同時に学びましょう。

            Basic

            Basic

            Penetration Testing, Injection

            模擬ハッキングの実務家が知らせる、SQLインジェクション攻撃技術とセキュアコーディング:PART 1Course Thumbnail

            模擬ハッキングの実務家が知らせる、SQLインジェクション攻撃技術とセキュアコーディング:PART 1

            crehacktive

            成功したSQLインジェクション攻撃のためのSQL基本文法Course Thumbnail

            成功したSQLインジェクション攻撃のためのSQL基本文法

            crehacktive

            Webハッキングの花と呼ばれるSQLインジェクション攻撃を習得するための基礎ステップ! SQL基本文法の講義です!

            Basic

            Basic

            SQL, Penetration Testing, MySQL

            成功したSQLインジェクション攻撃のためのSQL基本文法Course Thumbnail

            成功したSQLインジェクション攻撃のためのSQL基本文法

            crehacktive

            Similar courses

            Explore other courses in the same field!

            ファイル アップロード脆弱性高度攻撃手法 PART2-1:ファイル アップロード ライブラリ分析と攻撃方法論Course Thumbnail

            ファイル アップロード脆弱性高度攻撃手法 PART2-1:ファイル アップロード ライブラリ分析と攻撃方法論

            crehacktive

            ウェブハッキングの最終兵器!ファイルアップロード脆弱性攻撃手法!パート1に続き、パート2「1編」の教育では、より高度な上級手法について説明します。

            Intermediate

            Intermediate

            Penetration Testing

            ファイル アップロード脆弱性高度攻撃手法 PART2-1:ファイル アップロード ライブラリ分析と攻撃方法論Course Thumbnail

            ファイル アップロード脆弱性高度攻撃手法 PART2-1:ファイル アップロード ライブラリ分析と攻撃方法論

            crehacktive

            [エデュウィルホワイトハッカー]ゲームハッキングCourse Thumbnail

            [エデュウィルホワイトハッカー]ゲームハッキング

            eduwill

            今回の科目はハッキングもゲームのように、ゲームもハッキングしてみる科目です。 Androidゲーム、チートエンジンを活用してハッキングを学びましょう!

            Intermediate

            Intermediate

            Penetration Testing

            [エデュウィルホワイトハッカー]ゲームハッキングCourse Thumbnail

            [エデュウィルホワイトハッカー]ゲームハッキング

            eduwill

            Spring Security OAuth2Course Thumbnail

            Spring Security OAuth2

            leaven

            Spring Security OAuth2の基本概念から、APIの使い方と内部アーキテクチャを学びます。また、OAuth2 Client、OAuth2 Resource Server、Authorization Serverを統合して連携する方法を見て、独自の認可サーバーを構築し、これによりOAuth2サービスを実装する方法を学習します。

            Intermediate

            Intermediate

            Java, Spring, Spring Boot

            Spring Security OAuth2Course Thumbnail

            Spring Security OAuth2

            leaven

            スプリングセキュリティCourse Thumbnail

            スプリングセキュリティ

            whiteship

            Spring Securityの駆動原理と構造を理解し、Spring Securityが提供するさまざまな機能を活用して、Webアプリケーションに必要な認証および承認機能を設定する方法を説明します。

            Intermediate

            Intermediate

            Java, Spring

            スプリングセキュリティCourse Thumbnail

            スプリングセキュリティ

            whiteship

            模擬ハッキング業務就職準備、面接対策コースCourse Thumbnail

            模擬ハッキング業務就職準備、面接対策コース

            boanproject

            この講義は、IT セキュリティの模擬ハッキング業務を職業として選択しようとしたときに、勉強しながらどのように準備を進めていけばよいか、面接に備えてどのような質問例と回答を準備すればよいか、全体的なガイドを提供します。模擬ハッキングコンサルタント、大企業、金融機関で働いてきた経験と、現在模擬ハッキングコンサルティング事業を営んでいる経験をそのままお伝えします。

            Beginner

            Beginner

            Penetration Testing, Tech Interview

            模擬ハッキング業務就職準備、面接対策コースCourse Thumbnail

            模擬ハッキング業務就職準備、面接対策コース

            boanproject

            AWS クラウドサービスインフラストラクチャの構築の理解とハッキング、セキュリティCourse Thumbnail

            AWS クラウドサービスインフラストラクチャの構築の理解とハッキング、セキュリティ

            boanproject

            ITサービスはクラウド環境に急速に移行しています。 Amazon AWS クラウド環境のセキュリティを確保するために知っておくべき基本的な仮想インフラストラクチャの構築から、ゾーンごとのセキュリティ脅威の監視、脆弱性の診断の観点からセキュリティの実践を学びます。

            Basic

            Basic

            AWS, Penetration Testing

            AWS クラウドサービスインフラストラクチャの構築の理解とハッキング、セキュリティCourse Thumbnail

            AWS クラウドサービスインフラストラクチャの構築の理解とハッキング、セキュリティ

            boanproject

            必ず知って超えなければならないウェブ技術基礎編Course Thumbnail

            必ず知って超えなければならないウェブ技術基礎編

            crehacktive

            Web技術の基礎を習得できるコースで、短時間でWeb技術の基礎を習得できます。 Web関連の勉強や就職を希望される方は、必ず本講座を受講してください!

            Beginner

            Beginner

            Penetration Testing

            必ず知って超えなければならないウェブ技術基礎編Course Thumbnail

            必ず知って超えなければならないウェブ技術基礎編

            crehacktive