lnb영역
수강신청
- 전체과정
- 국제인증
- SAP
- VMware
- Salesforce
- CISCO
- Redhat
- 패스트레인
- CompTIA
- 정보기술 전략·기획
- 정보기술전략
- 정보기술컨설팅
- 정보기술 기획
- SW제품기획
- 빅데이터 분석
- IoT 융합서비스 기획
- 빅데이터 기획
- 핀테크기술기획
- 정보기술 개발
- SW 아키텍처
- 응용 SW 엔지니어링
- 임베디드 SW 엔지니어링
- DB 엔지니어링
- NW 엔지니어링
- 보안 엔지니어링
- UI/UX 엔지니어링
- 시스템 SW 엔지니어링
- 빅데이터 플랫폼 구축
- 핀테크 엔지니어링
- 데이터 아키텍처
- IoT 시스템 연동
- 인프라스트럭처 아키텍처 구축
- 정보기술 운영
- IT 시스템 관리
- IT 기술교육
- IT기술지원
- 빅데이터 운영·관리
- 정보기술 관리
- IT 프로젝트 관리
- IT 품질보증
- IT 테스트
- IT 감리
- 정보기술 영업
- IT 기술영업
- IT 마케팅
- 정보보호
- 정보보호관리·운영
- 정보보호진단·분석
- 보안사고분석대응
- 정보보호암호·인증
- 지능형 영상정보처리
- 생체인식(바이오인식)
- 개인정보보호
- 디지털 포렌식
- 인공지능
- 인공지능 플랫폼 구축
- 인공지능 서비스 기획
- 인공지능 모델링
- 인공지능 서비스 운영 관리
- 인공지능 서비스 구현
- 블록체인
- 블록체인 분석·설계
- 블록체인 구축·운영
- 블록체인 서비스 기획
- 스마트물류
- 스마트 물류 체계 기획
- 스마트 물류 플랫폼 구축
- 스마트 물류 통합관리
- 디지털트윈
- 디지털트윈기획
- M-Shield
- M-Shield_A
- M-Shield_N
- M-Shield_F
- M-Shield_M
- M-Shield_D
- 컬처메이커스
- 2024
컨텐츠 내용
- 수강신청
- 과정정보
비박스를 활용한 웹 모의해킹 완벽 실습
과정소개
입문자를 위해 준비한
모의해킹 업무 및 웹애플리케이션 취약점에 대한 궁금증이 있는 입문자부터 실무자까지 볼 수 있습니다.
다음과 같은 내용을 다룹니다.
비박스(bee-box)는 웹 취약점을 공격할 수 있는 오픈소스 웹 애플리케이션인 bWAPP(buggy Web Application)이
설치된 가상환경으로, 최신 시스템 공격 기법을 포함하고 있고 항목별로 난이도가 조정됩니다.
강좌 소개
비박스를 활용한 웹 모의해킹 완벽 실습 강의는 모의해킹 업무 및 웹애플리케이션 취약점에 대한 궁금증이 있는 입문자부터 실무자까지 볼 수 있습니다.
다음과 같은 내용을 다룹니다. 비박스(bee-box)는 웹 취약점을 공격할 수 있는 오픈소스 웹 애플리케이션인 bWAPP(buggy Web Application)이 설치된 가상환경으로,
최신 시스템 공격 기법을 포함하고 있고 항목별로 난이도가 조정됩니다.
- 웹애플리케이션 취약점을 포함한 최신 공격 기법 실습
- 실습 환경에 맞춰 다양한 공격 기법 사례 및 대응방안 제시
- 공격을 진행하기 위한 도구(버프 스위트)의 활용 방법 제시
도움되는 분들
- 모의해킹 업무 진로를 선택했거나 관심이 있는 모든 분
- 웹 해킹 입문을 배우고 싶은 모든 분
- 웹 모으해킹 공부를 하고 싶은데 환경 구축 및 활용 방법이 궁금한 분
강의 특징
- 버추얼 박스 (VirtualBox) 설치 필요, 강의 내 실습 이미지 설치 방법 소개됨
- 입문자 ~ 실무자까지 볼 수 있음
- 최신 시스템 공격 기법을 포함하고 있고 항목별로 난이도가 조정
| 차시 | 강의명 |
|---|---|
| 섹션 0. 오리엔테이션 | |
| 1차시 | 왜 비박스인가 |
| 2차시 | 강의자료다운로드 |
| 3차시 | 환경 구성 |
| 4차시 | (보충) 칼리리눅스 2020년 3번째 버전 버추얼 박스에 설치하여 사용하기 |
| 5차시 | (보충) vmware player 환경 설치 과정 |
| 6차시 | (보충) 도커 환경에서 비박스 등 취약한 환경 구성 |
| 7차시 | (보충) 칼리리눅스 vmware player 설치와 VirtualBox의 장단점 |
| 섹션 1. Part1 A1 - 인젝션 | |
| 8차시 | HTML 인젝션 |
| 9차시 | 기타 인젝션(iframe, OS, PHP, SSI) |
| 10차시 | SQL 기초 |
| 11차시 | SQL 인젝션 기초 |
| 12차시 | SQL 인젝션(SQLMAP & Metasploit 활용) |
| 13차시 | SQL 인젝션(AJAX, Login, Blog) |
| 14차시 | Blind SQL 인젝션 |
| 15차시 | XML:Xpath 인젝션 |
| 16차시 | php code Injection과 내부 침투 시나리오 |
| 섹션 2. Part 2 A2 - 인증 결함과세션 관리 | |
| 17차시 | 인증 결함에 의한 취약점 분석 사례 |
| 18차시 | 세션 관리 미흡에 인한 취약점 분석 사례 |
| 섹션 3. Part 3 A3 - 크로스 사이트 스크립팅 | |
| 19차시 | 크로스 사이트 스크립트(XSS) 취약점 - Stored 방식 |
| 20차시 | 크로스 사이트 스크립트(XSS) 취약점 - Reflected 방식 |
| 섹션 4. Part 4 A4 - 취약한 직접 객체 참조 | |
| 21차시 | 취약한 직접 객체 참조(중요 정보 변경 및 초기화, 상품 주문 가격 조작) |
| 섹션 5. Part 5 A5 - 보안 설정 오류 | |
| 22차시 | 보안 설정 오류(구글 해킹, Robots.txt, WebDav) |
| 섹션 6. Part 6 A6 - 민감 데이터 노출 | |
| 23차시 | Base64 인코딩 복호화/HTML5 웹 저장소/중요 정보 텍스트 파일 저장 |
| 24차시 | HTTP 페이지내 평문데이터(ARP Spooing)/하트블리드 취약점 |
| 섹션 7. Part 7 A7 - 기능 수준의 접근 통제 누락 | |
| 25차시 | 디렉터리 리스팅/파일 삽입 |
| 26차시 | 디바이스 접근 제한/서버 측 요청변조 |
| 27차시 | XML 외부 엔티티 공격 |
| 섹션 8. Part 8 A8 - 크로스 사이트 요청 변조 | |
| 28차시 | 비밀번호 변경/비밀번호 힌트 변경/계좌 이체 |
| 섹션 9. Part 9 A9 - 알려진 취약점이 있는 컴포넌트 사용 | |
| 29차시 | PHP CGI RemoteExectuiotn(CVE-2012-1823) |
| 30차시 | 셀쇼크 취약점(CVE-2014-6271) |
| 31차시 | Buffer Overflow(Local) |
| 섹션 10. Part 10 A10 - 검증되지 않은 리다이렉트와 포워드 | |
| 32차시 | 검증되지 않은 리다이렉트와 포워드 |
| 섹션 11. 파일 업로드 취약점-시스템 침투 | |
| 33차시 | 파일 업로드 취약점 공격 이해 |
| 34차시 | 파일 업로드 취약점 공격 목적 |
| 35차시 | 웹쉘 이용한 파일 업로드 취약점 |
| 36차시 | 웹쉘 파일 업로드 취약점 우회 - Weevely 활용 |
| 섹션 12. 보강수업 - 버프스위트 활용 (1.7x 버전) | |
| 37차시 | 버프스위트 설치 및 기능 요약 설명 |
| 38차시 | 버프스위트 프록시 개념과 설정 방법 |
| 39차시 | 테스트환경 소개와 범위 설정 |
| 40차시 | 스파이더(Spider)기능을 이용한 디렉터리 구조 파악 |
| 41차시 | 스파이더(Spider)기능 옵션 살펴보기 |
| 42차시 | 반복수행(Repeater)기능 옵션 살펴보기 |
| 43차시 | 자동진단(Intruder)기능 이해 및 활용 |
| 44차시 | 프록시 옵션을 설정하여 원하는 도메인만 진단 |