Chapter 14 콘텐츠 관리 시스템 보안.

Slides:



Advertisements
Similar presentations
앱솔루트 MOOC 간호학과 압축강의 시청 사용절차 Manual 부산경상대학교 앱버튼 Ver 0.1.
Advertisements

을지대학교 무선 네트워크 사용 방법 2010 년 06 월 01 일. 을지대학교 무선 네트워크 사용 방법 1. PC 무선랜 카드 활성화 및 체크 1 단계 : 시작 -> 설정 -> 네트워크 설정 2 단계 : 무선 네트워크 설정 선택 -> 마우스 버튼 오른쪽 클릭 -> 사용.
임직원 APP 설치 가이드 경영전략처 정보기획 TF 팀. 임직원 App- 운영체제 구분  안드로이드 갤럭시, 갤럭시노트, 갤럭시 S4 [ 삼성전자 ] 옵티머스 [LG 전자 ] 베가 [ 팬텍 모토로이 [ 모토롤라 ]  ios 아이폰 [ 애플.
아이튠즈 계정 생성. 1. 인터넷을 통해 설치한 아이튠즈를 실행 한 후 그림의 순서대로 선택을 합니다. 1 2.
Windows XP SP2 문제해결 Windows XP SP2를 설치한 회원께서는 Pop-up차단 기능과 ActiveX 설치의 어려움 발생 아래의 예는 안철수 바이러스 설치 시 문제점을 해결 하는 방법의 설명. 1. ActiveX 컨트롤 설치 ① 주소 표시줄 아래의 '이.
1. 에이전트 설치 및 인증 방법 아래와 같은 절차에 의해 에이전트 배포 및 설치를 진행하고, 에이전트 로그인성공 이후 에이전트 기능이 활성화되어 개인정보 점검 및 관리가 가능합니다. 에이전트 배포 웹을 통해 에이전트 설치 - 사용자는 지정된 웹에서 에이전트 설치 에이전트.
목차 Contents 무선인터넷용 비밀번호 설정방법 Windows 7 Windows 8 Windows XP MAC OS.
스마트워크(가상화) 외부 접속 방법 정보관리실.
新 연구관리 프로그램 SAP 설치 안내 1. SAP GUI 7.3 설치 2전자증빙 솔루션 설치 배포 :
<<< 시스템등록정보 “하드웨어-장치관리자” 설정 >>>
1. 신뢰할 수 있는 싸이트 등록 인터넷 익스플로러 실행 후 실행
1) 인터넷주소(강남구보건소)로 접속해주세요.
코크파트너 설치 가이드 Window 7.
표지 Ⅵ. Web VAN 사용자매뉴얼 (브라우저보안설정)
㈜디아이씨 SSLVPN 협력사 접속방법 2017년 4월.
ERP 전용 브라우저 설치 매뉴얼 (Windows 7)
SSL - VPN 사용자 가이드 - IT 지원실 네트워크 운영팀 -.
Outlook 에서 POP3 설정 방법.
Outlook Express 메일 백업 및 복원가이드
DPR-1630&1615 IP공유기 셋팅 방법 고객지원팀 작성자 : 정청석.
업체등록신청절차 목차 메인화면 메세지별 유형 2-1. 이미 가입된 공급업체
네트워크 프로그래밍 및 실습.
ANSYS17.2 Student 제품 무료 다운로드
홍익대학교 메일 시스템 구축 Outlook 설정 매뉴얼.
한국골프대학 종합정보시스템 Windows Vista 사용자를 위한 Component 설치안내서
한국골프대학 종합정보시스템 Windows 7 사용자를 위한 Component 설치안내서
SAP GUI 설치 가이드 프로세스 혁신 TFT.
4-1장. MySQL 제13장.
3.2 SQL Server 설치 및 수행(계속) 시스템 데이터베이스 master
1. C++ 시작하기.
Outlook Addin 설치 방법 및 매뉴얼
                              데이터베이스 프로그래밍 (소프트웨어 개발 트랙)                               퍼스널 오라클 9i 인스톨.
학습목표 학습목차 다른 홈페이지의 HTML 파일 코드를 보는 방법에 대해 알아봅니다.
IE사용시 KOTRA 홈페이지 회원가입 및 사업신청에 어려움이 있으신 고객님을 위한 해결방법 안내
환경 설정 예제 데이터베이스 생성 - 그림 3.34의 SQL Server 관리 스튜디오 창의 왼쪽 영역의 데이터베
1. SSLVPN 접속 방법 Internet Explorer 실행(타 브라우저 사용 불가)
2015학년도 PHP 기말 레포트 로그인 홈페이지 제작.
이메일 자동 포워딩 방법 (Outlook/OWA)
1. SSLVPN 접속 방법 Internet Explorer 실행(타 브라우저 사용 불가)
IPython Notebook + Spark + TensorFlow on MacOS
명지대학교 통합모바일앱 E-Book 이용안내
WZC 무선 연결 방법 (Windows XP Ver.).
ERP 전용 브라우저 설치 매뉴얼 (Windows 7)
Adobe 제품 다운로드 및 설치 방법 안내 Adobe Creative Cloud Adobe License 권한을 받으신 분
Nessus 4 설치 정보보호응용 조용준.
PC에 설치된 엔드포인트 클라이언트 프로그램을 클릭하여 프로그램 상자를 엽니다
※ 인터넷 옵션 조치 방법 ※ ★ 신뢰사이트 등록 (1) ★ 우리들을 신뢰해주세요^^* 방법이 복잡해 보일지 모르지만
1. 스크립트 작성 마법사 2. NSIS 스크립트 컴파일
※ 편리한 사이버 연수원 사용을 위한 인터넷 최적화 안내 ※
법령안편집기 연결버튼 표시가 안 될 경우 정부입법지원센터( 입안 및 심사안을 진행시
PMIS 서버 설정 환경설정 작성자 : 배경환.
CHAP 21. 전화, SMS, 주소록.
Open4U 공급업체 접속 방법 Open4U 시스템 신규 접속 방법 메인 화면 및 로그인 하기 초기 비밀번호 변경하기
화상대화 매뉴얼 한국지역정보개발원.
Cold Spring Harbor Laboratory Press 저널 이용 매뉴얼
OpenCV 설정 2.21 만든이 딩딩.
1. 신규 연세메일(Gmail)에 로그인 합니다. ( yonsei. ac. kr )
Tensorboard in Windows
01. 분산 파일 시스템의 개요 네트워크에 분산된 파일을 사용자가 쉽게 접근하고 관리할 수 있게 해준다.
업체등록신청절차 목차 메인화면 메세지별 유형 2-1. 이미 가입된 공급업체
9 브라우저 객체 모델.
슬라이드 쇼의 설정 슬라이드 쇼의 실행 파일과 폴더의 관리 글꼴을 포함해서 저장 웹 페이지로 게시 압축 파일
무선랜 사용자 설명서 (Windows Vista 사용자).
IPC 펌웨어 업그레이드 방법 안내 ** 반드시 IPC를 NVR POE 포트 연결 전에 작업 하시기 바랍니다. IPC를 NVR POE 포트에 연결 하실 경우 IP 대역폭을 마추셔야 하는 작업이 필요합니다. **
Installation Guide.
FTP 스캔 설정 방법 강사 : 이성휘 대리.
1) 인터넷주소(강남구보건소)로 접속해주세요.
이 프레젠테이션은 PowerPoint의 새로운 기능에 대해 안내하며, 슬라이드 쇼에서 가장 잘 보입니다
Office 365 Student Advantage
Presentation transcript:

Chapter 14 콘텐츠 관리 시스템 보안

01 콘텐츠 관리 시스템 02 콘텐츠 관리 시스템의 취약점과 보안 방안

콘텐츠 관리 시스템을 파악한다. 콘텐츠 관리 시스템의 취약점과 보안 방안을 학습한다.

1.1 콘텐츠 관리 시스템의 종류 콘텐츠 관리 시스템의 종류 현재 사용되고 있는 콘텐츠 관리 시스템 목록을 확인할 수 있는 페이지 https://en.wikipedia.org/wiki/List_of_content_management_systems

1.1 콘텐츠 관리 시스템의 종류 워드프레스(WordPress) 콘텐츠 관리 시스템 분야에서 독보적인 1위 미국 뉴욕타임스, 포브스, 페이스북 블로그 등이 워드프레스를 활용

1.1 콘텐츠 관리 시스템의 종류 줌라(Joomla) PHP로 작성된 오픈 소스 콘텐츠 관리 시스템 MySQL 데이터베이스를 이용하여 콘텐츠를 작성, 관리, 보관하는 기능을 제공 다른 콘텐츠 관리 시스템에 비해 뛰어난 확장 모듈이 많은 편 영국의 국가범죄수사국 홈페이지(http://www.nationalcrimeagency.gov.uk/)가 줌라를 활용하여 만들어짐.

1.1 콘텐츠 관리 시스템의 종류 드루팔(Drupal) 워드프레스나 줌라에 비해 대규모 홈페이지를 구축하는 데 유리 트위터 블로그(https://blog.twitter.com/), 하버드대학교의 ‘ The Graduate School of Arts and Sciences’ 홈페이지(https://gsas. harvard.edu/)는 드루팔로 만들어짐.

1.1 콘텐츠 관리 시스템의 종류 APM 설치 http://www.wampserver.com/en/ 에 접속하여 WAMPSERVER 32 BITS(X86) 파 일을 내려받음.

1.1 콘텐츠 관리 시스템의 종류 APM 설치 라이선스 동의를 요청하는 대화상자가 나타나면 ‘I accept the agreement’에 체크 표시 후 <Next>를 클릭하여 설치를 계속 진행 설치 준비가 완료되었다는 화면이 나타나면 <Install>을 클릭

1.1 콘텐츠 관리 시스템의 종류 APM 설치 Wampserver에서 사용할 브라우저를 선택하라는 화면이 뜨면 인터넷 익스플 로러를 사용할 것이므로 <아니오> 클릭

1.1 콘텐츠 관리 시스템의 종류 APM 설치 [시작]-[Wampserver32]를 실행하면 윈도우 화면 오른쪽 하단의 트레이바에 실 행된 것을 확인 해당 아이콘을 마우스 오른쪽 버튼을 눌러 [Apache]-[Service administration]- [Install Service]를 선택하여 설치하고 [Start/Resume]을 클릭하여 서비스 실행

1.1 콘텐츠 관리 시스템의 종류 APM 설치 아파치가 성공적으로 구동되면 아파치 서비스(80번 포트)와 MySQL 서비스 (3306번 포트)가 성공적으로 실행됨.

1.1 콘텐츠 관리 시스템의 종류 APM 설치 브라우저를 실행하여 주소창에 ‘localhost’를 입력하면 웹 서버가 구동

1.1 콘텐츠 관리 시스템의 종류 MySQL 데이터베이스 만들기 오른쪽 하단의 실행 아이콘에서 [WAMPServer]-[phpMyAdmin]을 선택 ID에는 ‘root’를 입력하고 Password는 입력하지 않은 채 [Enter]를 눌러 로그인

1.1 콘텐츠 관리 시스템의 종류 MySQL 데이터베이스 만들기 [데이터베이스] 탭을 선택한 후 ‘새 데이터베이스 만들기’ 항목에 ‘wordpress’를 입력하고 <만들기>를 클릭하여 데이터베이스를 생성

1.1 콘텐츠 관리 시스템의 종류 워드프레스 설치 워드 프레스 아카이브 사이트(https://wordpress.org/download/release-archive/ 에 접속하여 4.5버전의 zip 파일을 내려받음. 압축을 풀고 C:\wamp\www\ 폴더로 복사한 후 폴더 이름을 wordpress로 설정

1.1 콘텐츠 관리 시스템의 종류 워드프레스 설치 워드프레스를 복사한 후 http://localhost/wordpress/에 접속한 후 설치할 언어 로 ‘한국어’를 선택하고 <Continue>를 클릭

1.1 콘텐츠 관리 시스템의 종류 워드프레스 설치 이전 단계에서 wordpress 데이터베이스를 생성했기 때문에 <Let’s go!>를 클 릭하여 설치를 계속 진행

1.1 콘텐츠 관리 시스템의 종류 워드프레스 설치 앞에서 생성한 데이터베이스 이름 ‘wordpress’와 사용자명 ‘root’를 입력 후 <저장하기> 클릭

1.1 콘텐츠 관리 시스템의 종류 워드프레스 설치 사이트 제목과 사용자명, 비밀번호(기본적으로 생성), 이메일 주소를 입력하고 <워드프레스 설치하기>를 클릭

1.1 콘텐츠 관리 시스템의 종류 워드프레스 설치 앞에서 입력한 아이디와 패스워드로 로그인을 하면 다음과 같이 워드프레스가 성공적으로 설치된 것을 확인할 수 있음.

2.1 콘텐츠 관리 시스템의 취약점 워드프레스의 취약점 익스플로잇이 올라와 있는 exploit-db 사이트에서 ‘wordpress’를 검색하면 1000개가 넘은 공격 코드가 공개되어 있음. 대부분의 공격 코드는 보안이 제대로 설계되지 않은 플러그인에 의해 발생

2.1 콘텐츠 관리 시스템의 취약점 Apptha Slider Gallery v1.0에서 발견한 취약점 2017년 3월 9일에 Ihsan Sencan이 보고 워드프레스가 설치된 시스템에서 임의의 파일을 내려받을 수 있음.

2.1 콘텐츠 관리 시스템의 취약점 SQL 인젝션 취약점이 존재하는 플러그인 공격 코드 albid 변숫값에 union을 이용한 SQL 인젝션 공격으로 관리자의 아이디와 암호 화된 패스워드를 얻을 수 있음.

2.1 콘텐츠 관리 시스템의 취약점 CSRF/XSS 취약점 공격 코드 dxw가 2017년 4월 7일에 공개 할 수 있음. 크로스 사이트 스크립팅을 통해 다른 사용자의 쿠키를 훔치거나 악의적인 스 크립트를 삽입할 수 있음.

2.1 콘텐츠 관리 시스템의 취약점 줄라의 취약점 대부분 SQL 인젝션 취약점

2.1 콘텐츠 관리 시스템의 취약점 드루팔의 취약점 2017년 4월을 기준으로 공개된 취약점이 31개에 불과(사용자 수가 적기 때문)

2.1 콘텐츠 관리 시스템의 취약점 드루팔 모듈 RESTWS7.x 버전에서 발생하는 원격 코드 실행 공격 코드 메타스플로잇 모듈에 포함되어 있음. 심각도는 매우 높음

2.1 콘텐츠 관리 시스템의 취약점 취약한 워드프레스 플러그인 설치 https://www.exploit-db.com/exploits/40870/ 에서 ‘Vulnerable App’ 항목에 있 는 아이콘을 클릭하여 zip 파일을 내려받음.

2.1 콘텐츠 관리 시스템의 취약점 취약한 워드프레스 플러그인 설치 압축을 풀어 ‘simple-personal-message’ 폴더를 확인 이 폴더를 plug-in 디렉터리에 복사 C:\wamp\www\wordpress\wp-content\plugins\simple-personalmessage

2.1 콘텐츠 관리 시스템의 취약점 취약한 워드프레스 플러그인 설치 워드프레스 관리자 페이지에 접속하여 [플러그인]-[설치된 플러그인]을 선택하 고 ‘Simple Personal Message’ 항목 아래의 <활성화>를 클릭

2.1 콘텐츠 관리 시스템의 취약점 취약점을 이용한 공격 http://localhost/wordpress/wp-login.php에 접속하여 일반 사용자로 로그인

2.1 콘텐츠 관리 시스템의 취약점 취약점을 이용한 공격 [SPM Message]-[SPM Compose]를 클릭하고 메시지를 작성 [SPM Message]-[SPM Outbox]를 클릭하면 발송한 메시지 목록과 각 메시지의 내용을 볼 수 있음.

2.1 콘텐츠 관리 시스템의 취약점 취약점을 이용한 공격 message를 받는 SQL 구문에 대한 필터링이 없기 때문에 공격자는 다양한 SQL 문자열을 입력하여 SQL 인젝션 공격 수행 C:\wamp\www\wordpress\wp-content\plugins\simple-personal-message\admin\partials\ simple-personal-message-admin-view.php

2.1 콘텐츠 관리 시스템의 취약점 SQL 인젝션 공격 수행 공격에 성공하면 wp_users 테이블의 사용자 이름, 암호화된 패스워드가 나타남. http://localhost/wordpress/wp-admin/admin.php?page=simple-personal-messageoutbox&action=view&message=0%20UNION%20SELECT%201,2,user_login,4,user_ pass,6,7,8,9,10,11%20FROM%20wp_users%20WHERE%20ID=1

2.2 콘텐츠 관리 시스템의 보안 방안 워드프레스 보안 패치 및 업데이트 적용 정보 https://wordpress.org/news/category/security/ 에서 확인

2.2 콘텐츠 관리 시스템의 보안 방안 줌마 보안 패치 및 업데이트 적용 정보 https://developer.joomla.org/security-centre.html 에서 확인

2.2 콘텐츠 관리 시스템의 보안 방안 드루팔 보안 패치 및 업데이트 적용 정보 https://www.drupal.org/security 에서 확인

2.2 콘텐츠 관리 시스템의 보안 방안 검증된 플러그인 및 최신 패치 사용 주기적인 백업 콘텐츠 관리 시스템을 사용할 때는 해당 사이트에서 공식적으로 지원하는 플 러그인을 사용 잘 알려지지 않은 플러그인을 사용할 때는 최신 패치가 된 버전을 사용 주기적인 백업 백업을 해두면 설령 불가항력적인 침해를 당하더라도 복구할 수 있는 여지가 있기 때문