ctf web back_end 개발기
TRANSCRIPT
CTF WEBDEVELOP
Sejong Univ. WooSeok.Cho BBangX3
BBangx3 세미나
BBangx3 세미나
xxWho Am I?조우석
세종대학교����������� ������������������ 정보보호학과����������� ������������������ 2학년
SSG����������� ������������������ 보안����������� ������������������ 동아리����������� ������������������ 부원
Inc0gnito����������� ������������������ 운영진
BBangx3 세미나
CONTENTS
백앤드가 뭐에요?
웹서버를 어떻게 만들죠...
PHP!!
무슨 기능들이 필요할까요?
자~ 기능들을 구현해보죠
보안도 Check!
마-무리~ 꺄륵><
CONTENTS
CTF WEBDEVELOP
BBangx3 세미나
백앤드가 뭐에요?
Interface, GUI System, DB, Data
BBangx3 세미나
웹서버를 어떻게 만들죠...
LINUX
A.P.M
BBangx3 세미나
PHP!!
Personal Home Page Tools
PHP:Hypertext Preprocessor
서버쪽에서 실행 되는 프로그래밍 언어
BBangx3 세미나
PHP!!
Personal Home Page Tools
PHP:Hypertext Preprocessor
서버쪽에서 실행 되는 프로그래밍 언어
•웹에����������� ������������������ 최적화된����������� ������������������ 언어����������� ������������������
•웹개발에����������� ������������������ 필요한����������� ������������������ 수많은����������� ������������������ 로직들이함수의����������� ������������������ 형태로����������� ������������������ 미리����������� ������������������ 제공됨����������� ������������������
•크로스플랫폼����������� ������������������
•거의����������� ������������������ 모든����������� ������������������ 데이터베이스를����������� ������������������ 지원����������� ������������������
•가장����������� ������������������ 많은����������� ������������������ 공개소프트웨어가����������� ������������������ PHP로����������� ������������������ 만들어짐
BBangx3 세미나
PHP!!
BBangx3 세미나
무슨 기능들이 필요할까요?
CTF
BBangx3 세미나
무슨 기능들이 필요할까요?
CTF
Login
Upload/Download
Key Certification
ETC
Admin
Log
Security
BBangx3 세미나
자~ 기능들을 구현해보죠
CTF
Login
BBangx3 세미나
자~ 기능들을 구현해보죠
BBangx3 세미나
자~ 기능들을 구현해보죠
BBangx3 세미나
자~ 기능들을 구현해보죠
CTFKey
Certification
BBangx3 세미나
자~ 기능들을 구현해보죠
BBangx3 세미나
자~ 기능들을 구현해보죠
Key 인증
학생인가?
해당 문제를 푼 적이 있는가?
해당 문제를 푼 적이 있는가?
해당문제를 푼사람이 있는가?
yes
yes
No
No
yes
No
일반인 점수 추가
No
학생 점수+(3,2,1) 추가
학생 점수 추가yes
BBangx3 세미나
XSS
SQL_Injection
Directory Listing
Upload
Admin
Unusual Access
01
02
03
04
05
06
보안도 Check!
BBangx3 세미나
XSS
• 정규식����������� ������������������ 사용����������� ������������������
• htmlspecialchar()사용 CTFWEBDEVELOP
보안도 Check!
BBangx3 세미나
SQL_Injection CTFWEBDEVELOP
PDO(PHP Data Objects)
• 여러 데이터베이스를 제어하는 방법을 표준화 시킨 것.• 쿼리를 직접 만들지 않고 파라미터를 bind하는 방식
• PDO����������� ������������������ 사용 CTFWEBDEVELOP
보안도 Check!
BBangx3 세미나
Directory Listing CTFWEBDEVELOP
• 아파치����������� ������������������ 설정 CTFWEBDEVELOP
보안도 Check!
BBangx3 세미나
Upload CTFWEBDEVELOP
• 파일명����������� ������������������ hashing����������� ������������������
• 경로����������� ������������������ 설정 CTFWEBDEVELOP
보안도 Check!
BBangx3 세미나
Admin CTFWEBDEVELOP
<Directory “/var/www/html/admin경로”>Order deny, allowDeny from allAllow from x.x.x.xAllow from x.x.x.x/255.255.255.0</Directory>
/etc/apache2/apache2.conf
• 운영진����������� ������������������ 공유기����������� ������������������ ip����������� ������������������ 대역����������� ������������������ 제한����������� ������������������
• 키����������� ������������������ 인증����������� ������������������ 로그 CTFWEBDEVELOP
보안도 Check!
BBangx3 세미나
Unusual Access CTFWEBDEVELOP
• get,post����������� ������������������ 접근검사����������� ������������������ 및����������� ������������������ 차단����������� ������������������
• 중복����������� ������������������ 로그인����������� ������������������ 방지 CTFWEBDEVELOP
보안도 Check!
BBangx3 세미나
• get,post����������� ������������������ 접근검사����������� ������������������ 및����������� ������������������ 차단����������� ������������������
• 중복����������� ������������������ 로그인����������� ������������������ 방지
•운영진����������� ������������������ 공유기����������� ������������������ ip����������� ������������������ 대역����������� ������������������ 제한����������� ������������������
• 키����������� ������������������ 인증����������� ������������������ 로그
•파일명����������� ������������������ hashing����������� ������������������
• 경로����������� ������������������ 설정
• 아파치����������� ������������������ 설정
• PDO����������� ������������������ 사용
• 정규식����������� ������������������ 사용����������� ������������������
• htmlspecialchar()사용
XSS
SQL_Injection
Directory Listing
Upload
Admin
Unusual Access
01
02
03
04
05
06
보안도 Check!
BBangx3 세미나
마-무리~ 꺄륵><
BBangx3 세미나
마-무리~ 꺄륵><
꺄륵 ><
BBangx3 세미나
Thank����������� ������������������ You����������� ������������������ For����������� ������������������ Listening