HOME > 게시판 > 자유게시판
게시판| 자유게시판
※ 게시판 용도에 맞지 않는 글(광고및 홍보 글 등)은 임의삭제될 수 있습니다.

 
작성일 : 09-05-25 15:39
하루만에 끝내는 웹해킹 보안 전문가 과정
 글쓴이 : 홍영주
조회 : 3,531  

하루만에 끝내는 웹해킹 보안 전문가 과정

  • 일시 : 2009-06-16   10:00-18:00
  • 장소 : 비즈델리 교육장(차병원 대각선 맞은편 마디병원 5층)
  • 강      사 : 프리랜서  정진석 강사
  • 가      격 : 165,000원 I 132,000원

▶ 자세한 내용 보기

[수강 신청자 유의사항]

* 본 과정에서는 별도의 PC가 제공되지 않으므로 참석하시는 회원님들께서는
노트북을 준비해주셔야 해킹 및 보안 관련 실습이 가능하오니 참고해주시기 바랍니다.

* 실습시 사용되는 프로그램은 강의 중에 직접 설치하여 사용하므로
별도 준비하실 프로그램은 없습니다.

  • 강사 : 정진석 강사
  • 일정 : 2009년 6월 16일 (화) 10:00 ~ 18:00
  • 교육비 : 사전등록 165,000원 / 현장등록 176,000원 (부가세 포함 / 중식 포함 / 교재비 포함)
  • 교육장소 : 비즈델리 교육장(차병원 대각선 맞은편 마디병원 5층)
  • 웹사이트 관리자 및 개발자
  • 웹사이트 관련 보안 담당자
  • 웹 해킹에 대한 보안이 필요한 실무자(서버,네트워크담당자)
  • 기타 웹해킹에 관심이 있는 IT 관련 종사자
    관련기사
    우리나라가 보안 위협 발생 빈도 세계 1위/ 아시아투데이 / 08.09.11 - 원문보기
    네이버도 네티즌 2만여 명 개인 정보노출 / YTN / 08.09.05 - 원문보기
    개인정보 해킹…20만 건 수집 도용/ YTN / 07.08.22 - 원문보기
    '공공기관 해킹 피해 급증’ 올들어 자료 훼손·유출 하루 2건꼴 / 국민일보 / 08.09.09 - 원문보기
    웹 애플리케이션 보안 중요성 높아져 / 보안뉴스 / 08.09.09 - 원문보기
    개인정보=공개된 정보 허점투성이 ‘IT공화국’ / 헤럴드경제 / 08.09.08 - 원문보기
    24세 미국해커가 국내 은행 농락 / ZDNet Korea / 08.05.15 - 원문보기
    옥션 해킹 피해자 9만여명, 900억원대 집단소송 / ZDNet Korea / 08.06.25 - 원문보기
    해킹사고의 변화
    웹 해킹의 위험성
    웹 공격 도구
    해커들의 주요 공격 방법 웹 애플리케이션 주요 취약점
    1. SQL 구문 삽입
    2. 크로스 사이트 스크립팅
    3. 파일 업로드 공격
    4. 쿠키조작
    5. 디렉터리 이동
    1. 입력값 검증 부재
    2. 크로스 사이트 스크립팅
    3. 삽입 취약점
    4. 취약한 접근 통제
    5. 부적절한 에러 처리
    6. 부적절한 환경 설정

Agenda
1 session
10:00~12:00
웹 해킹 개요 및 기법의 이해
  • 1. 웹 해킹의 개요
  • 해킹의 추이 및 사례
  • 웹 해킹의 발생 원인
  • 해킹의 파급효과
  • 2. 웹 해킹 기법의 이해
  • 웹 해킹 방법론
    - 웹 어플리케이션 구조 이해 : HTTP 프로토콜의 이해
    - 정보수집 : 포트 스캔, 웹 취약점 스캐너의 사용, 인증구조확인, 디렉터리 목록화 도구 사용, google 해킹의 이해
    - 취약성 분석
    - 공격 시도
    - 공격 결과 분석
  • 웹 공격 도구 소개
    - 웹 프락시
    - 종합 공격 도구
  • 주요 공격 기법 이해
    - 해커들의 주요 공격과 어플리케이션과의 관계 분석
    - SQL INJECTIOn 공격, XSS(Cross-Site scripting)공격, 파일 업로드 공격, 쿠키 조작
    - 디렉터리 이동 공격, 외부 파일 실행 공격, javascript 조작 공격, 히든 필드 조작 공격
    - URL 강제 접속 공격, 디렉터리 인덱싱 공격, 기타 취약한 계정 및 원격관리 프로그램의 취약성 이해
  • 3. 웹 어플리케이션 주요 취약점 및 대응 방안
  • OWASP Top 10
    - A1 Cross-Site scripting
    - A2 삽입 취약점
    - A3 악의적 파일 실행
    - A4 안전하지 못한 객체 참조
    - A5 Cross-Site Request Forgery
    - A6 정보 노출 및 부적절한 에러 처리
    - A7 취약한 인증 및 세션 관리
    - A8 취약한 암호화 저장 방식
    - A9 안전하지 못한 통신
    - A10 URL 접근 제한 실패
  • 4. 중국발 해커의 주요 공격 기법 및 도구
Lunch Break
2 session
13:00~15:00
웹해킹 실전 Part 1
  • 1. SQL INJECTION 공격을 이용한 인증우회 실습
  • 관리자 로그인 페이지 추측 및 취약한 계정 응용, 패스워드 추측 공격 병행
  • 2. SQL INJECTION 공격을 이용한 주요 DB 정보 획득
  • 웹 Proxy를 이용한 html 필드 값 조작 응용
  • having, group by 를 이용한 테이블 명, 컬럼명 획득
  • union 을 이용한 전체 필드 값 획득
  • 3. SQL INJECTION 공격을 이용한 DB 서버 침투
  • Packet sniffing(capture) 를 통한 xp_cmdshell 의 결과 확인
  • netcat을 이용한 reverse connection 공격
  • extended stored procedure 를 이용한 시스템 명령의어 수행
  • tftp 서버의 사용
  • 4. SQL INJECTION 공격을 이용한 주요 DB 정보 획득 2
  • infomation_schema 를 이용한 주요 DB 정보의 획득
  • sysobjects, syscolumns 를 이용한 주요 DB 정보의 획득
3 session
15:10~16:30
웹해킹 실전 Part 2
  • 1. XSS 공격 실습
  • 게시판을 이용한 XSS 공격
  • 획득한 쿠키의 재사용
    - 웹 프락시를 이용한 쿠키 재사용
    - cooxie 를 이용한 쿠키의 재사용
    - 쿠키 만료 되기 전 재활용 방법
  • 2. 디렉터리 인덱싱 공격 실습 및 대응
  • apache에서의 대응
  • IIS 에서의 대응
  • 3. 쿠키 변조
  • 동영상 시연
  • 쿠키 변조를 통한 타 사용자 및 관리자 권한 획득
4 session
16:40~18:00
웹해킹 실전 Part 3
  • 1. 파일 다운로드 공격
  • 파일 다운로드 공격을 이용한 주요 정보 획득
  • 파일 다운로드 공격의 응용
  • 2. 파일 업로드 공격
  • 파일 업로드 공격 동영상 시연
  • javascript 필터링을 우회한 파일 업로드 공격
  • mime 필터링을 우회한 파일 업로드 공격
  • 3. reverse connection
  • xterm, netcat 등 을 이용한 reverse connection
  • 4. tunneling 공격


** 상기 일정, 강사, 내용은 사정에 따라 변경될 수 있습니다.

정진석 강사 / 정보보호 컨설팅 분야 프리랜서

現 정보보호 컨설팅 분야 프리랜서
CISA
경북대학교
성균관대학교 정보통신대학원 정보보호학과 재학

[컨설팅 경력]
중요 정부기관, 공공, 금융, 대기업 및 전문 기업 대상 정보보호 컨설팅
PM/PL, 모의해킹, 그 외 기술적인 진단 실무 직접 수행
보안컨설팅 : 서울지방경찰청, 포스코 광양제철소, 교육인적자원부 NEIS 응용 S/W
모의해킹 : 건국대학교병원, 포스코 MES 시스템, 현대차그룹, LG그룹사
취약점 진단 : 한국법제연구원, 애니콜, 현대해상, 건강보험심사평가원, 우리은행, 롯데정보통신, 한국법제연구원, 한국고용정보원, 한국암웨이
정보보호 컨설팅 : 대덕전자, 엘지생활건강, 국회사무처, 건강보험심사평가원, 문화관광부/문화정보센터, 금융감독원, 에너지관리공단, 교보문고, 모빌리언스, 금융감독원, 에너지관리공단, 증권예탁원
특허청 위.변조 진단 컨설팅
삼일회계법인 보안진단 컨설팅
대법원 등기정보 시스템 정보보호 상태 진단 컨설팅

[강의 경력]
행자부 소속의 정보화교육센터에서 정보보호 전문 강사
경찰청, 경상남도공무원교육센터, 경기도인재개발원, 경기도교육청, 기무사, 한국교육학술정보원, 한국고용정보원, 포스코, LG 그룹 등 다수

▶ 자세한 내용 보기


이 글을 트위터로 보내기 이 글을 페이스북으로 보내기