웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩
크리핵티브
정보보안 입문자와 웹 개발자 분들을 위한 웹 해킹 입문 강의! 본 강의를 시작으로 웹 해킹을 재미있게 시작해보세요!
Basic
모의해킹, 인젝션
ファイル アップロードの脆弱性 高度な攻撃手法 PART2 [統合版]
ウェブハッキングの最終兵器!ファイルアップロード脆弱性攻撃手法!パート1に続き、パート2「1編」の教育では、より高度な上級手法について説明します。
こんなことが学べます
Java ファイル アップロード ライブラリへの理解
Java ファイル アップロード ライブラリに対する潜在的なセキュリティ脅威
Web ファイアウォールの理解
Web ファイアウォール回避技術
さまざまな環境への理解
さまざまな環境での Web シェル アップロード攻撃方法
どこでも聞くことができない内容
講義に込めました!
今日、Webハッキングを学ぶためのさまざまなルートがあります。 Inflearnのようなオンラインレッスンプラットフォーム、オフラインレッスンを聞くことができる学園、検索エンジンなど、私たちがよく見ているルートでは、ほとんどの一般的なコンテンツを中心に扱います。しかし、本講義は異なります。 「どこでも聞けない内容」と自負します!
ファイルアップロードの脆弱性攻撃 Part 2-1
学習内容を確認してください!
安全だと知られているアップロード検証ロジック、果たして安全でしょうか?
以下のソースコードは、ファイルアップロードの脆弱性から安全であることが知られているソースコードです。それでは、本当に安全なコードが正しいでしょうか?
...
String path = request.getRealPath( "/upload" );
MultipartRequest multi = new MultipartRequest (request、path、 1024 * 10 * 10 、 "UTF-8" );
Enumeration formNames = multi.getFileNames();
while (formNames.hasMoreElements()) {
String param = (String)formNames.nextElement();
String uploadFile = multi.getFilesystemName(param);
int extOffset = uploadFile.lastIndexOf( "." );
String fileExt = uploadFile.substring(extOffset+ 1 ).toLowerCase();
if (!fileExt.equals( "jpg" ) && !fileExt.equals( "png" ) && !fileExt.equals( "gif" )) {
File fp = new File (パス、uploadFile);
fp.delete();
out.println(“ <script>alert(‘잘못된 확장자’);history.back(-1);</script> ");
return;
}
}
...いいえ。対応するソースコードは「脆弱なソースコード」です。
このコードが脆弱な理由とその攻撃方法については、パート2-1のレッスンで詳しく説明します。
もっと学びましょうか? 📚
ファイルアップロードライブラリ固有のケースについて
各ファイルアップロードライブラリについて分析し、発生する可能性のある潜在的なセキュリティ脅威、およびさまざまなケースについて説明します。
ファイルアップロードの脆弱性攻撃 Part 2-2
学習内容を確認してください!
Webファイアウォールバイパス技術ケーススタディ
さまざまなWebファイアウォールのバイパス技術について学び、その攻撃技術の実践を進めます。
ファイルアップロードの脆弱性攻撃 Part 2-3
学習内容を確認してください!
JEUSとWebSphereで発生したディレクトリ解析の脆弱性について詳しく説明し、その脆弱性が今日なぜ脅威であるか、そしてどのように攻撃できるのかについての攻撃方法を詳しく説明します。 (IBM WebSphere CVE-2020-4163)
その他、さまざまな環境やケースについて詳しく見てみましょう。
こんな方に
おすすめです
学習対象は
誰でしょう?
実務で模擬ハッキングや脆弱性診断を行っている実務者
就職準備生
前提知識、
必要でしょうか?
Web技術
Web ハッキングの基礎
ファイルダウンロード脆弱性知識
ファイル アップロードの脆弱性に関する知識
25,877
受講生
1,361
受講レビュー
497
回答
4.9
講座評価
18
講座
:: 국내 정보보안 솔루션 개발 기업 재직 ::
- 앱 위변조 방지 솔루션 : 미들웨어 담당 / 해킹 대회 운영진 / 국내 유명 해킹/방어 훈련장 제작
:: 국내 정보보안 전문 업체 재직 ::
- 블랙박스 모의해킹 / 시나리오 기반 모의해킹 / 웹 취약점 진단 / 모바일 취약점 진단 / 소스코드 취약점 진단 / APT 모의 훈련 / DDoS 모의훈련 / 인프라 진단 / 스마트 가전 진단
- 국내 대기업, 중소기업 다수 진단
:: 외부 교육 및 활동 ::
- 멀티캠퍼스, 국가 보안 기술 연구소(ETRI)
- 국내 정보보안 업체 : 재직자 대상 "웹 모의해킹 심화 교육" 진행중
- 해커팩토리 문제 제작
:: 취약점 발견 ::
1) Web Application Server 취약점
- TMAX JEUS : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
- IBM WebSphere(CVE-2020-4163) : 원격 명령어 실행 취약점(Remote Command Execution Vulnerability)
2) CMS(Contents Management System) 취약점
- 네이버 스마트에디터 : 파일 업로드 취약점
- 그누보드 : SQL Injection , 파일 업로드 취약점(그누보드4, 그누보드5), XSS ...
- 킴스큐 : 파리미터 변조 취약점 , 파일 업로드 취약점
* 이메일 : crehacktive3@naver.com
* 블로그 : http://www.crehacktive.co.kr
カリキュラム
全体
72件 ∙ (6時間 10分)
講座資料(こうぎしりょう):
授業資料
7. 概要
02:57
9. [ライブラリ1]環境構築
03:04
12. [ライブラリ1]ライブラリ分析
16:09
23. [ライブラリ1]まとめ
03:53
24. [ライブラリ2]環境構築
03:20
34. Webファイアウォールの理解
06:58
講座掲載日:
最終更新日:
受講レビュー
全体
7件
4.9
7件の受講レビュー
김형수受講レビュー 3
∙
平均評価 5.0
- Lee youngchae
受講レビュー 7
∙
平均評価 4.3
- dlatjdwns331
受講レビュー 3
∙
平均評価 5.0
- 장정현
受講レビュー 3
∙
平均評価 5.0
- 인포섹
受講レビュー 17
∙
平均評価 4.8
¥12,885
crehacktiveの他の講座
知識共有者の他の講座を見てみましょう!
似ている講座
同じ分野の他の講座を見てみましょう!
