prada ver.3
TRANSCRIPT
1. 제작 동기
4. 구동 영상
2. FILE DEFENDER 란 ?3. 사이트 특징
5. PROJECT 발자취
6. 마무리
안전한 커뮤니티가 되길 바라십니까 ?
list
PRADA Project 1/22
FILE DEFENDER
안전한 커뮤니티가 되길 바라십니까 ?
PRADA Project 2/22
이래도 안전합니까 ?
당신은 안전하다고 생각하십니까 ?
11 년 피해신고 2 만 1 천 건
대기업들의 보안사고
11 년 국내 스턱스넷 1 만 건
웹
쉘
확장자 변조 파일 등
PRADA Project 3/22
DDOS
PRADA Project 4/22
EXE 파일 첨부 차단
용량 제한
PRADA Project 5/22
- 최소한 파일 게시판은 안전해야 합니다 .
- 악성코드의 시작은 확장자 변조 ,
- 막아야 합니다 !
feature of this project
Owasp top 10
확장자 변조 파일 차단
IP 차단 기능
웹쉘 파일 차단
기타 취약점 방어
안전한 업 · 다운로드 환경 제공
PRADA Project 6/22
AboutFile signature
PNG
89 50 4e 47 0d 0a 1a 0a
zip
89 50 4e 47 0d 0a 1a 0a
확장자 와 시그니쳐 비교 후 처리
PRADA Project 7/22
AboutWeb shell
웹 쉘 (web shell) 은 업로드 취약점을 통하여 시스템에 명령을 내릴 수 있는 코드를 말한다 . -위키백과
PRADA Project 8/22
DB F.S.D
contents
FILE DEFENDER
1. 작성한 글을 DB 에 전송
2. F.S.D 로 첨부된 파일 전송
3. F.S.D 에서 파일 검사
4. 변조여부를 DB 로 전송
5. 작성자에게 결과 통보
PRADA Project 9/22
Main page
PRADA Project 10/22
logs
- 업로드 시 시그니쳐 검사와 웹셸 검사에서 차단된 게시물의 파일명 , IP 를 남김 .- 지속적인 관리와 융통성있는 관리가능 .
PRADA Project 11/22
pictograph
- 무슨 확장자로 변조가 많이 되는지 한달 간의 통계 그래프 .- 유저들에게 공개 .
PRADA Project 12/22
Blocking IP
PRADA Project 13/22
signatures
PRADA Project 14/22
출처 : http://www.garykessler.net/library/file_sigs.html
A1. Injection 취약점
A2. XSS (Cross Site Scripting)
A3. 인증 및 세션 처리 미흡
A4. 직접 객체 참조
A5. CSRF (Cross Site Request Forhery)
A6. 보안 설정 미흡
A7. URL 접근 통제 미흡
A8. URL Redirection & Forward
A9. 민감한 정보저장 방식
A10. 전송계층 보안 미흡
Owasp top 10A1. Injection 취약점
A2. XSS (Cross Site Scripting)
A3. 인증 및 세션 처리 미흡
A4. 직접 객체 참조
A5. CSRF (Cross Site Request Forhery)
A6. 보안 설정 미흡
A7. URL 접근 통제 미흡
A8. URL Redirection & Forward
A9. 민감한 정보저장 방식
A10. 전송계층 보안 미흡
DB schema prada
admin Blocked_iplog
AdminidAdminpwd
blockedintSeqDateBad_ipUp_fileReasonReason2Ip_port
intSeqstrName…strUserIPResultWresultIp_port
PRADA Project 16/22
test
fileExtdate
Graph
preview
PRADA Project 17/22
preview
PRADA Project 18/22
프로젝트 팀 결성 F.S.D 소스 제작
보안 및 ASP 스터디
PPT 제작 및 발표
F.S.D 소스 제작웹 사이트 제작
8월
9월
10월
11월
Process of this project
PRADA Project 19/22
이경엽
임동근가창규
이효성
김성혁
member of this project
C Program-mingASP
Mssql, 기획
ASP기획 , web
programming
C Program-mingASP
Mssql,PPT
C Program-mingASP
Mssql
팀장ASPPPT
PRADA Project 20/22
1
23
4
5
OWASP취약점 보안
체계적회원제 도입
모바일업로드 지원
모바일 웹 보안
게시판기능강화
Plan ofThis project
PRADA Project 21/22
