다시 뛰는 공정도시 서울!

문서번호 정보통신보안담당관-24486 결재일자 2017.12.15. 공개여부 대시민공개 방침번호 시 민 주무관 통합보안관제팀장 정보통신보안담당관 경대훈 강성모 12/15 김완집 협조 교육훈련팀장 조병건 정보보호정책팀장 박영재 웹 취약점 점검 직무교육 시행계획 2017. 12 정보통신보안담당관 (통합보안관제팀) 웹 취약점 점검 직무교육 시행계획 웹 해킹에 의한 정보유출, 홈페이지 변조 및 서비스 중단 등 침해사고를 예방하기 위해 정보보호담당자를 대상으로 웹 취약점 점검 및 보안대책 수립에 필요한 실습위주 직무교육을 실시하고자 함. 1 필 요 성 ？ 웹 취약점 점검, 보안대책(시큐어코딩) 이행여부 확인 등 업무를 수행하는 정보보호담당자의 전문 기술역량 강화 필요 2 교육개요 ？ 교 재 : WEB HACKING 서버 침투기법 (붙임2. 참조) 3 세부시행계획 ？ 교육내용 일 자 시 간 내 용 <이 론> <1주차 실습> 일 자 시 간 내 용 <2주차 실습> 일 자 시 간 내 용 구 분 산출내역 금액(원) 4 학습시간 인정조치 ？ 이론교육 참석자 : 2시간 ？ 실습교육 참석자 : 20시간 붙임 : 1. 강사 프로필 1부. 2. 구입교재 소개 1부. 끝. (붙임 1) 강사 프로필 성명 소속(직위) 주요경력 수상 - (붙임 2) 구입교재 소개 웹 모의해킹 시나리오의 완성 WEB HACKING 서버 침투기법 유현수 / 오픈시큐어랩 BOOKS / 신국판(153×225) 298쪽 / 2017. 10. 31 펴냄 / 값 18,500원 / ISBN 979-11-9621-321-3 93000 ？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？ 차 례 1. 취약점 개요 및 실습 환경 구축 1.1. 서버 침투 개요 1.2. 웹쉘(WebShell) 이란 1.3. C99 WebShell 1.4. 웹쉘(WebShell) 대응방안 1.5. 테스트 환경 구축 Track 1 웹 서버 접근권한 획득 2. 취약점 및 대응방안 2.1. 파일 업로드 취약점 2.2. 파일 업로드 취약점 예시 2.3. 파일 업로드 대응방안 2.4. 블랙리스트 필터링 2.5. 화이트리스트 필터링 3. 다양한 대응방안 3.1. 웹 루트 외부에 파일저장 3.2. 디렉토리, 파일명 숨김 3.3. 아파치 보안 설정 3.4. 물리적 영역분리 3.5. 악의적인 함수 차단 4. 업로드 경로 4.1. 응답(RESPONSE) 전문 4.2. 이미지 파일 업로드 페이지 4.3. SQL Injection취약점 4.4. 파일 다운로드 취약점 4.5. 정보수집을 통한 유추 5. 다양한 취약점 사례 5.1. 콘텐츠 필터링 5.2. 디폴트 관리자 페이지 5.3. 네트워크 서비스 5.4. 다양한 웹 취약점 5.5. DB관리 애플리케이션 5.6. 과도한 HTTP METHOD 5.7. 파일 업로드 실패 Track 2 웹 서버의 쉘 획득 기법 6. 리버스 쉘(Reverse Shell) 6.1. 리버스 쉘이란 6.2. 리버스 쉘 공격기술 6.3. 리버스 쉘 실습 Track 3 주변 및 내부 서버 침투 기법 7. 포트 포워딩(Port Forwarding) 7.1. 포트 포워딩이란 7.2. 네트워크 유틸리티 7.3. 스크립트 언어 7.4. 운영체제 기본 명령 7.5. 포트 포워딩 대응방안 8. 터널링 (Tunneling) 8.1. 터널링이란 8.2. SSH 터널링 8.3. HTTP 터널링 8.4. ICMP 터널링 Track 4 WebShell 탐지 기법 9. GREP을 이용한 웹쉘 점검 9.1. GREP의 주요기능 9.2. GREP을 이용한 웹쉘 탐지 10. 오픈소스 웹쉘 스캐너 10.1. 스캐너 현황 10.2. 웹쉘 탐지성능 10.3. 국내 상용 솔루션

14211338

20210926062435

본청

정보통신보안담당관-24486

D0000032377485