CTF WEBDEVELOP

Sejong Univ. WooSeok.Cho BBangX3

BBangx3 세미나

BBangx3 세미나

xxWho Am I?조우석

세종대학교����������� ������������������  정보보호학과����������� ������������������  2학년

SSG����������� ������������������  보안����������� ������������������  동아리����������� ������������������  부원

Inc0gnito����������� ������������������  운영진

BBangx3 세미나

CONTENTS

백앤드가 뭐에요?

웹서버를 어떻게 만들죠...

PHP!!

무슨 기능들이 필요할까요?

자~ 기능들을 구현해보죠

보안도 Check!

마-무리~ 꺄륵><

CONTENTS

CTF WEBDEVELOP

BBangx3 세미나

백앤드가 뭐에요?

Interface, GUI System, DB, Data

BBangx3 세미나

웹서버를 어떻게 만들죠...

LINUX

A.P.M

BBangx3 세미나

PHP!!

Personal Home Page Tools

PHP:Hypertext Preprocessor

서버쪽에서 실행 되는 프로그래밍 언어

BBangx3 세미나

PHP!!

Personal Home Page Tools

PHP:Hypertext Preprocessor

서버쪽에서 실행 되는 프로그래밍 언어

•웹에����������� ������������������  최적화된����������� ������������������  언어����������� ������������������  

•웹개발에����������� ������������������  필요한����������� ������������������  수많은����������� ������������������  로직들이함수의����������� ������������������  형태로����������� ������������������  미리����������� ������������������  제공됨����������� ������������������  

•크로스플랫폼����������� ������������������  

•거의����������� ������������������  모든����������� ������������������  데이터베이스를����������� ������������������  지원����������� ������������������  

•가장����������� ������������������  많은����������� ������������������  공개소프트웨어가����������� ������������������  PHP로����������� ������������������  만들어짐

BBangx3 세미나

PHP!!

BBangx3 세미나

무슨 기능들이 필요할까요?

CTF

BBangx3 세미나

무슨 기능들이 필요할까요?

CTF

Login

Upload/Download

Key Certification

ETC

Admin

Log

Security

BBangx3 세미나

자~ 기능들을 구현해보죠

CTF

Login

BBangx3 세미나

자~ 기능들을 구현해보죠

BBangx3 세미나

자~ 기능들을 구현해보죠

BBangx3 세미나

자~ 기능들을 구현해보죠

CTFKey

Certification

BBangx3 세미나

자~ 기능들을 구현해보죠

BBangx3 세미나

자~ 기능들을 구현해보죠

Key 인증

학생인가?

해당 문제를 푼 적이 있는가?

해당 문제를 푼 적이 있는가?

해당문제를 푼사람이 있는가?

yes

yes

No

No

yes

No

일반인 점수 추가

No

학생 점수+(3,2,1) 추가

학생 점수 추가yes

BBangx3 세미나

XSS

SQL_Injection

Directory Listing

Upload

Admin

Unusual Access

01

02

03

04

05

06

보안도 Check!

BBangx3 세미나

XSS

• 정규식����������� ������������������  사용����������� ������������������  

• htmlspecialchar()사용 CTFWEBDEVELOP

보안도 Check!

BBangx3 세미나

SQL_Injection CTFWEBDEVELOP

PDO(PHP Data Objects)

• 여러 데이터베이스를 제어하는 방법을 표준화 시킨 것.• 쿼리를 직접 만들지 않고 파라미터를 bind하는 방식

• PDO����������� ������������������  사용 CTFWEBDEVELOP

보안도 Check!

BBangx3 세미나

Directory Listing CTFWEBDEVELOP

• 아파치����������� ������������������  설정 CTFWEBDEVELOP

보안도 Check!

BBangx3 세미나

Upload CTFWEBDEVELOP

• 파일명����������� ������������������  hashing����������� ������������������  

• 경로����������� ������������������  설정 CTFWEBDEVELOP

보안도 Check!

BBangx3 세미나

Admin CTFWEBDEVELOP

<Directory “/var/www/html/admin경로”>Order deny, allowDeny from allAllow from x.x.x.xAllow from x.x.x.x/255.255.255.0</Directory>

/etc/apache2/apache2.conf

• 운영진����������� ������������������  공유기����������� ������������������  ip����������� ������������������  대역����������� ������������������  제한����������� ������������������  

• 키����������� ������������������  인증����������� ������������������  로그 CTFWEBDEVELOP

보안도 Check!

BBangx3 세미나

Unusual Access CTFWEBDEVELOP

• get,post����������� ������������������  접근검사����������� ������������������  및����������� ������������������  차단����������� ������������������  

• 중복����������� ������������������  로그인����������� ������������������  방지 CTFWEBDEVELOP

보안도 Check!

BBangx3 세미나

• get,post����������� ������������������  접근검사����������� ������������������  및����������� ������������������  차단����������� ������������������  

• 중복����������� ������������������  로그인����������� ������������������  방지

•운영진����������� ������������������  공유기����������� ������������������  ip����������� ������������������  대역����������� ������������������  제한����������� ������������������  

• 키����������� ������������������  인증����������� ������������������  로그

•파일명����������� ������������������  hashing����������� ������������������  

• 경로����������� ������������������  설정

• 아파치����������� ������������������  설정

• PDO����������� ������������������  사용

• 정규식����������� ������������������  사용����������� ������������������  

• htmlspecialchar()사용

XSS

SQL_Injection

Directory Listing

Upload

Admin

Unusual Access

01

02

03

04

05

06

보안도 Check!

BBangx3 세미나

마-무리~ 꺄륵><

BBangx3 세미나

마-무리~ 꺄륵><

꺄륵 ><

BBangx3 세미나

Thank����������� ������������������  You����������� ������������������  For����������� ������������������  Listening