■ 기업의 비즈니스 환경이 웹 기반으로 구축됨에 따라, 웹 환경에서 발생할 수 있는 다양한 취약점은 그대로 방치할 경우 불시에 공격대상이 될 수 있어 위험에 노출되어 있는 상황입니다. 이러한 취약점을 이해하고 해킹 공격으로 이어질 수 있는 환경을 파악해, 각 취약점에 대한 대응 역량을 갖추는 것은 점차 필수적인 기업의 정보보안 능력으로 인식되고 있습니다.
■ 본 과정은 웹 환경에서의 취약점을 분석, 대응 방법을 익혀 기업에 적용함으로써 기업 내 정보자산을 보호할 수 있는 핵심 인력을 양성하기 위해 기획되었습니다.
■ 웹 애플리케이션에 대해 이해하고, 인젝션 공격을 통한 DB공격, 웹을 사용하는 사용자 공격 등 다양한 관점에서의 공격 방법을 알아보고 대응 방안을 도출할 수 있습니다.
[교육대상]
■ 웹 개발자 / 웹 서버 및 DB 서버 관리자
■ 취약점 분석 업무 담당자
[교육내용]
[Phase 01] 웹 취약점 공격 - 최근 SQL Injection 공격 사례 - 악성코드 삽입 사고 사례 - SQL Injection을 이용한 데이터베이스 정보 취득 사례 - Mass SQL Injection을 이용한 데이터베이스 오용 사례
[Phase 02] 웹 프로토콜의 이해 - 웹 프로토콜 구성에 대한 이해 및 분석 - HTTP Request, HTTP Reply 및 관련 요소에 대한 이해 - 웹 로그 구성에 대한 이해 및 분석 - W3C, NCSA 형태의 로그 생성 필드 및 관련 필드에 대한 의미 - 웹 공격에 따른 웹 로그 분석 방법 - 웹 프로토콜 분석 실습
[Phase 03] 웹 취약점 침해 유형 - 파일 업로드 공격기법 및 웹 쉘 유형 분석 및 실습 - 파일 다운로드 공격 기법 - SQL Injection 공격 기법(Mass SQL Injection사례 분석) 및 실습 - XSS 공격 기법 및 실습 - 디렉토리 리스팅 공격 기법 및 실습(구글을 통한 접근 방식) - 관리자 페이지 노출 공격 기법 - 쿠키 변조 및 가로채기 공격 기법 및 실습 - URL 파라미터 변조 공격기법 - 히든 및 자바스크립트 조작 공격 기법 및 실습 - 에러 노출 공격 기법 및 구글을 통합 접근방식 - 검색엔진 및 검색엔진 동작 차단 키워드 분석
[Phase 04] 웹 취약점 탐지 - 취약점 분석 도구의 이해 - 취약점 분석 도구의 활용 - 취약점 분석 도구의 소스 분석 및 최적화(소스 변경 및 컴파일)
[Phase 05] 웹 해킹 사고 분석 - 웹 로그에 대한 이해 - 웹 로그 분석 툴을 이용한 해킹 로그 분석 방법 - 실제 SQL Injection 로그 분석 실습 - 실제 홈 페이지 변조 로그 분석 실습 - 실제 파일 업로드 로그 분석 실습 - 실제 명령어 삽입 로그 분석 실습