웹 해킹 기초와 실습.

Slides:



Advertisements
Similar presentations
전공 : 컴퓨터 공학 전공 과목 : 인터넷 정보 검색 학번 : , 이름 : 조 항 두, 오 철 원 발표일 :
Advertisements

Term Project Hints Topics Keep-alive CGI Multi-thread Multi-process Event-based.
Web Programming 소개 인공지능 연구실. Artificial Intelligence Laboratory 목차  1. HTML5  2. 개발 환경 구축  3. JSP  4. 실습 2.
목 차 01 인터넷의 이해 02 정보 검색의 이해 학습목표 학습 목표를 알아보자.. 학습 목표 인터넷의 의미와 서비스에 대해 설명할 수 있다. 정보 검색의 의미와 검색의 종류에 대해 설 명할 수 있다. 필요한 정보를 검색할 수 있다.
홈페이지 만들기. Cyber 공간에서 자신이 갖고 있는 정보 나 관심사를 다른 사람들에게 체계적으 로 공개하거나, 시간과 장소에 구애 받지 않고 정보화 시대에 발맞춰 자신을 어필 할 수 있음.
제 4 장 인터넷 창병모 네트워크 구성 2 LAN(Local Area Network) LAN  근거리 통신망으로 집, 사무실, 학교 등의 건물과 같이  가까운 지역을 한데 묶는 컴퓨터 네트워크 이더넷 (Ethernet)  제록스 PARC.
4 장 웹 브라우저의 사용 World Wide Web 의 개요  1990 년 말 스위스의 CERN 연구센터에서 많은 사용자가 쉽게 사용할 수 있도록 그래픽을 제공하는 환경을 개발  WWW, Web, World Wide Web, W3 등의 호칭  Hypertext.
01 학습 내용 : 준비학습 : 인터넷 과 웹 01 장. 인터넷 이해하기 02 장. 홈페이지를 만들기 전에.
컴퓨터 통신과 인터넷 2. 컴퓨터 통신 2.1 컴퓨터 통신 장비 ~ 고성능 컴퓨터. 전화선이나 전용선, 모뎀이나 통신카드, 통신용 프로그램 컴퓨터 IBM AT (286) 호환 기종 – 문자 서비스만 IBM AT (486-RAM 16MB) 급 호환 기종이상.
프로젝트 제안서 날씨대로 기분대로 팀원 박효민 신준범 정민섭 안성원
Chapter 02. 웹에 대한 이해. Chapter 02. 웹에 대한 이해 웹의 역사 HTTP 웹 애플리케이션 기술.
MO/MT를 활용한 Call Center 제안
컴퓨터 일반 모의고사1.
제 09 장 인터넷과 월드와이드웹 한국대학교 홍길동 교수.
Introduction to Django
HTML5 웹 프로그래밍 입문 (개정판) 1장. 인터넷과 웹환경의 발전.
PHP programming 2000년 11월 13일 데이터베이스 연구실 김호숙.
2002/3/20 HTML 2002/3/20
HTML과 CGI 프로그래밍 PHP 웹 프로그래밍 (PHP Web Programming) 문양세
13장 공지사항 한빛미디어(주).
정보활용 능력과정 경일대학교 컴퓨터공학과 김 현성
SQL*Plus - Oracle ISQL -
컴퓨터 소프트웨어.
1. JSP(Java Server Pages) 소개
9장. 요청 흐름제어와 모듈화 #1: <jsp:forward> 액션태그 사용
웹 서비스 (Web Services).
서버의 종류와 기능 환경공학과 권진희.
동호회 구축 제안서 인터넷전문가그룹 4biz.
1장. JSP 및 Servlet을 활용한 동적 웹 프로그래밍 소개 제1장.
Web Servers (IIS & Apache)
APM (Apache+PHP+MySQL)
1. JSP(Java Server Pages) 소개
웹과 PHP를 이해하고 APM 설치 방법을 알아보자!
이 름: 정홍도 (과장) 팀 명: 개발사업팀 일 자:
김승겸 한남대학교 컴퓨터공학과 인공지능 실험실
11장. 데이터베이스 서버 구축과 운영.
ASP 정 보 보 호 학 과 양 계 탁.
7장: 원격 통신 인터넷과 온라인 자원의 사용.
REPORT DESIGNER5.0 FAQ.
인터넷 보안 정보 보안 개론 5장.
홈페이지 만들기 HTML HyperText Markup Language 홈페이지를 만들 때 사용하는 언어
자격증 모의 테스트 시스템 담당 교수 : 이 상 문 교수님 팀명 : CSCLAB
웹서버와 설치에 필요한 것 WWW ( world wide web ) TCP/IP 프로토콜을 이용하는 클라이언트/서버 환경
[INA240] Web Programming Homework #3 [INA240] Web Programming
HTML5+CSS3 실무 테크닉 김은기 저.
웹 서비스 (Web Services).
04장 웹 보안: 웹, 그 무한한 가능성과 함께 성장한 해킹
2012 인터넷 응용프로그래밍 FTP, MySQL 사용 방법 및 텀 프로젝트용 서버에서 웹페이지 구동 방법 설명
Html(front end) & jsp(back end)
1강_web과 html Web이란? HTML이란? CSS란? Lecturer Kim Myoung-Ho Nickname 블스
Cafe24 쇼핑몰 구축방법 전략연구소 교육팀 권계영 대리.
BIZSIREN 실명확인서비스 개발 가이드 서울신용평가정보㈜ 신용조회부 (TEL , FAX )
Web Vulnerabilities 정보 보호 2008/05/31 Getroot.
CGI (Common Gateway Interface)
JSP Programming with a Workbook
HTML, PHP, MySQL, Javascript
CGI (Common Gateway Interface)
Cyber Shopping Mall 구축 - CD New - 안소연,박지윤,박종봉,정영은.
myfood.com 상명대 맛집 홈페이지 구축 제안서
컴퓨터 개론 √ 원리를 알면 IT가 맛있다 쉽게 배우는 컴퓨터 기본 원리 한빛미디어 교재출판부.
Ⅳ. 컴퓨터와 생활.
과제 #5 MySQL 연동 php문서에서 SQL문의 삽입, 삭제, 수정, 검색을 수행한다. 주어진 form을 최대한 활용한다.
Web & Internet [02] HTML5 기본구조와 작성법
05 ASP.NET 2.0 페이지 및 응용 프로그램 구조 웹 폼(Web Form) 웹 폼 이벤트
Oracle 구성 Internet Application Server Database Server.
HTML HTML 기본 구조와 태그 다양한 태그 다루기
웹 스크래핑.
웹 프로그래밍 기술 요약 Yang-Sae Moon Department of Computer Science
Web Server Install.
PHP 기본 프로그래밍 2 장종원
Presentation transcript:

웹 해킹 기초와 실습

수업 내용 웹에 대한 소개 웹 게시판 만들기 실습 웹 해킹 실습 HTTP Protocol Web Server & Web Browser 웹 게시판 만들기 실습 Camp_Board 웹 해킹 실습

웹 해킹이 대세! 다양한 종류의 인터넷 서비스들

웹 해킹이 대세! 그들 중 단연 최고는 WEB!

웹 해킹이 대세! 사라지는 서비스들, 일부는 WEB으로 흡수

접속을 막아버리는 방화벽(Firewall) 웹 해킹이 대세! 접속을 막아버리는 방화벽(Firewall)

웹 해킹이 대세! Web까지 막을 순 없다!

웹 해킹이 대세! 웹 프로그래밍 언어 == 상대적으로 쉬운 언어

웹 해킹이 대세! 취약점이 가장 많은 서비스는 바로 WEB!

웹 게시판 만들기

웹 게시판 만들기

알아야 할 것들 WEB의 이해 HTML의 이해 PHP의 이해 Mysql의 이해

WEB의 이해 HTML 언어 사용 HTTP 프로토콜 기반으로 작동 인터넷 상에서 동작하는 여러 서비스들 중 하나 IE나 Firefox와 같은 Web Browser를 통해서 작동 HTML 언어 사용 HTTP 프로토콜 기반으로 작동 HyperText Transfer Protocol 요청/응답(request/response) 방식의 프로토콜 GET /index.html HTTP/1.0 -> index.html을 주세요 GET /logo.jpg HTTP/1.0 -> logo.jpg를 주세요

Web Server와 Web Browser의 관계

WEB 이해를 위한 실습 Web Browser와 Web Server가 주고 받는 내용 직접 보기 http://192.168.0.10/sniffer/sniffer.zip 패킷 스니퍼 실행 Start 버튼 클릭 http://192.168.0.10/test.html 접속 패킷 스니핑 결과 확인

HTML 언어 Web page를 만들기 위한 프로그래밍 언어 HyperText Markup Language 문서의 글자 크기, 색, 그래픽, 테이블, 하이퍼링크 등을 정의 HTML에서 사용하는 명령어를 태그(tag)라고 함 html, body, table, tr, td, font, a, img

PHP 언어 Server Side Script Language 원래 Personal Home Page Tools의 약자 PHP is Hypertext Preprocessor로 변경 Html 언어와 혼용하여 사용 가능 사용자로부터 인자를 입력 받아 동적인 결과 출력 가능 서버 내의 다양한 서비스들과 연동 가능

Server Side Script

PHP 언어 HTML에서 PHP로 인자 전달하기 <FORM> 태그 이용 GET 방식과 POST 방식 예제 GET URL 뒤로 인자를 이어서 전달 HTTP 패킷 안에 인자 전달 인자 크기에 제한이 있음 인자 크기에 거의 제한이 없음 인자의 내용이 웹 로그에 노출 됨 노출되지 않음

Mysql Database 관리 시스템의 한 종류 자료 보관, 검색 및 통계에 활용 이것은 파일이다. Mysql, Mssql, Oracle 자료 보관, 검색 및 통계에 활용 이것은 파일이다. Frm : 테이블 구조 MYI : 테이블 인덱스 MYD : 실제 데이터

Mysql 사용 예제 Mysql Client 테이블 설계 테이블 생성 자료 입력 활용 예제 /usr/bin/mysql 나이, 이름, 거주 지역 테이블 생성 Create table (…) 자료 입력 활용 예제

웹 게시판 만들기 SSH 접속 웹 경로 mysql 실행 192.168.0.1 /var/www/html/ root / camp 웹 경로 /var/www/html/ mysql 실행 Mysql –u root –p camp (패스워드 camp)

웹 게시판 만들기 테이블 설계 고유번호 - int , auto_increment 닉네임 – char(20) 내용 - text 카운터 - int 등록 날짜 – char (20) 업로드 파일 – char(20)

웹 게시판 만들기 (1) 새 글 쓰기 Write.php

웹 게시판 만들기 (2) 등록된 글 목록 보기 list.php

웹 게시판 만들기 (3) 웹 게시판 만들기 (3) 게시물 내용 보기 view.php 카운터 높이기

웹 게시판 만들기 (4) 파일 업로드 기능 구현하기

웹 게시판 만들기 (5) 게시물 삭제하기 delete.php 업로드 파일도 함께 삭제하기

웹 게시판 만들기 (6) board.html로 통일하기

쉬(하)는 시간

!!긴급!! 게시판에 누군가 이상한 글을 올렸다. 글쓴이의 IP를 찾아라!

!충격! 우리가 만든 게시판에 취약점이 있다. 글쓴이의 IP를 찾아라!

질문 총 몇 개의 취약점이 있을까?

Exploit (1) 카운터를 높이자. 글쓰기 도배를 하자.

Exploit (2) HTML 태그 입력 취약점 - 태그 쓰기 - Marquee - 테이블 탈출 - 창 흔들기 - 게시판 망치기

Exploit (3) 디렉토리 안의 파일 노출 취약점

Exploit (4) DB File을 훔쳐보자. 원격에서 접속해 보자.

Exploit (5) Fopen() 함수의 취약점 예상치 못한 파일을 받아보자. - ../../../etc/passwd

Exploit (6) Include 함수의 취약점 예상치 못한 파일을 받아보자 - ../../../etc/passwd - include http               - include ftp  - include ../로컬

Exploit (7)  업로드   - .php - .PhP - .html - .inc - .txt.php   - .jpg.php

Exploit (8) system() 함수의 취약점

Exploit (9) Copy() 함수의 취약점

Exploit (10) Sql injection 취약점 - 암호 없이 게시물 삭제 - 원격 쉘 획득

원격 쉘 획득 실습 Bind Shell Program Reverse Shell Program

결론 (1) 웹은 해커의 놀이터

결론 (2) 해킹을 하려면 프로그래밍은 필수! 프로그래밍 불가능한 자 프로그래밍 가능한 자 소스 코드 해석 불가능 소스 코드 해석 가능 지도 없이 길을 찾아가는 것 지도를 가지고 길을 찾아가는 것 불을 끄고 물건을 찾는 것 불을 켜고 물건을 찾는 것 축구를 안 해본 사람이 감독을 맡는 것 축구를 해 본 사람이 감독을 맡는 것