- 출간 정보
- 2018.12.06. 전자책, 종이책 동시 출간
- 파일 정보
- 15.1MB
- 61쪽
- ISBN
- 9791196117191
- ECN
- -
아파치 스트럿츠2 CVE-2017-5638 취약점 사례분석 상세페이지
아파치 스트럿츠2 CVE-2017-5638 취약점 사례분석작품 소개
<아파치 스트럿츠2 CVE-2017-5638 취약점 사례분석> 아파치 스트럿츠는 2000년에 등장해 많은 개발자들에게 호응을 얻은 자바 기반의 웹 애플리케이션 프레임워크다. 스트럿츠 2 는 기존에 스트럿츠 1 의 단점을 보완하고 웹 프레임워크 장점들을 결합해 만들었다. MVC 패턴 기반의 아키텍쳐를 쓰고 있고 빠른 로딩, Ajax의 쉬운 구현, 다양한 표현식 언어들을 지원한다. 톰캣, 이클립스 등의 환경 구성이 필요하며 자바 기반으로 작동되는 프레임워크기 때문에 JDK와 JRE를 꼭 설치해야 한다. 사용이 쉽고 대중들에게 많은 각광을 받고 있지만 그만큼 취약점도 많다. 대표적으로 CVE-2017-5638이 있고, 최근 5월에는 CVE-2018-9751 취약점이 공개됐다. 많이 발생하는 취약점은 아파치 스트럿츠 2.3.5~2.3.31 버전, 2.5~2.5.10 버전대다.
중국 해커들은 한국 웹사이트 공격 시 아파치 스트럿츠 버전이 낮
은 웹 서버를 사용한다는 것을 노려 공격했다.
이 중에서 이 책에서는 "아파치 스트럿츠2 CVE-2017-5638" 취약점 분석했던 사례를 다루었다.
출판사 서평
아파치 스트럿츠 취약점은 매년 한두개씩 공개가 되고 있다. 국내에서도 아직 아파치 스트럿츠 환경을 많이 사용하기 때문에, 공격코드가 공개된 후에 큰 보안윕협을 받을 수 있다. 이 책은 아파치 스트럿츠 취약점에 대한 분석 방법을 상세히 다루고, 이해하기 쉽게 하기 위해 시나리오 사례도 포함된다.
저자 소개
저자 - 이건주
학부 때 우연히 웹 개발에 관심이 생겨 컴퓨터 세계에 입문했다. 정보 보안에 관심이 생겨 졸업 후 보안프로젝트에서 모의해킹 장기 과정을 수료하며, 여러 연구 및 프로젝트를 했다. 현재는 동국대학교 국제정보보호대학원에서 정보보호전공으로 석사 과정을 진행하며, 케이쉴드주니어 1기 멤버로 활동하고 있다. 주요 관심 분야는 웹 취약점 진단 및 악성코드 분석이다. 주요 저서는 <워드프레스 플러그인 iThemes Security SQL Injection 취약점 사례분석>이 있다.
감수 - 조정원
감수를 맡은 조정원은 보안프로젝트(www.boanproject.com) 대표로 활동하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 하였고, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스코드 진단 등 다양한 영역에서 취약점 진단을 수행하였다. 이후 KTH 보안 팀에서 모바일 서비스, 클라우드 서비스 보안, 침해사고 대응 업무를 하였고, KB투자증권에서 보안 업무를 담당했다. 주요 저서로는 <실무자가 말하는 모의해킹>, <비박스를 활용한 웹 모의해킹 완벽실습>, <버프스위트 활용과 웹 모의해킹>, <워드프레스 플러그인 취약점 분석과 모의해킹>(이상 한빛미디어, 2015), <IT엔지니어의 투잡, 책내기>, <IT엔지니어로 사는법 1>(이상 비팬북스, 2015), <안드로이드 모바일 앱 모의해킹>, <안드로이드 모바일 악성코드와 모의해킹 진단>, <칼리리눅스를 활용한 모의해킹>(이상 에이콘출판사, 2014), <모의해킹이란 무엇인가>(위키북스, 2014), <디지털 포렌식의 세계>(인포더북스, 2014), <크래커 잡는 명탐정 해커>(성안당, 2010) 등이 있으며, 보안프로젝트 멤버들과 함께 다양한 영역에서 활동하고 있다.
목차
1. 아파치 스트럿츠2 개요 6
1.1 아파치 스트럿츠 2 배경 및 특징 6
1.2 아파치 스트럿츠 2 공격 피해 사례 8
2.아파치 스트럿츠2 취약점 환경 설정 9
2.1 환경 구성 9
2.1.1 칼리리눅스 설치 10
2.1.2 이클립스 설치 12
2.1.3 톰캣 설치 14
2.1.4 아파치 스트럿츠 2 설치 17
2.2 아파치 스트럿츠 2를 활용한 공격 실습 20
2.2.1 메타스플로잇을 활용한 취약점 공격 20
2.2.2 Nmap NSE를 활용한 취약점 진단 25
2.2.3 PoC 코드를 활용한 취약점 공격 27
2.2.4 Jexboss를 활용한 취약점 공격 30
3.디페이스 공격 시나리오 실습 34
3.1 환경 구성 35
3.2 공격 실습 35
4.아파치 스트럿츠2 패킷 분석 45
4.1.1 정상 패킷 45
4.1.2 공격 당한 패킷 46
5.아파치 스트럿츠2 코드 분석 48
5.1 http-vuln-cve2017-5638.nse 스크립트 48
5.2 POC 코드 51
5.3 아파치 서버 코드 52
6.대응방안 56
6.1 취약점이 해결된 버전으로 업데이트 수행 56
6.2 Content-type 필터링 적용, Ongl 표현식 사용 금지 56
6.3 Commons-fileupload-xxx.jar 파일 삭제 57
리뷰
구매자 별점
3.7 점
점수비율
- 5
- 4
- 3
- 2
- 1
3명이 평가함
리뷰 작성 영역
내가 남긴 별점 0.0
별로예요
그저 그래요
보통이에요
좋아요
최고예요
'구매자' 표시는 리디에서 유료도서 결제 후 다운로드 하시거나 리디셀렉트 도서를 다운로드하신 경우에만 표시됩니다.
- 무료 도서 (프로모션 등으로 무료로 전환된 도서 포함)
- '구매자'로 표시되지 않습니다.
- 시리즈 도서 내 무료 도서
- '구매자’로 표시되지 않습니다. 하지만 같은 시리즈의 유료 도서를 결제한 뒤 리뷰를 수정하거나 재등록하면 '구매자'로 표시됩니다.
- 영구 삭제
- 도서를 영구 삭제해도 ‘구매자’ 표시는 남아있습니다.
- 결제 취소
- ‘구매자’ 표시가 자동으로 사라집니다.
리뷰 및 사용자 신고하기
댓글 및 사용자 신고하기
사용자 차단
사용자 차단 해제
이 책과 함께 구매한 책
이 책과 함께 둘러본 책
성인 인증 안내
성인 재인증 안내
성인 인증 안내
성인 재인증 안내
청소년보호법에 따라 성인 인증은 1년간
유효하며, 기간이 만료되어 재인증이 필요합니다.
성인 인증 후에 이용해 주세요.
해당 작품은 성인 인증 후 보실 수 있습니다.
성인 인증 후에 이용해 주세요.
청소년보호법에 따라 성인 인증은 1년간
유효하며, 기간이 만료되어 재인증이 필요합니다.
성인 인증 후에 이용해 주세요.
해당 작품은 성인 인증 후 선물하실 수 있습니다.
성인 인증 후에 이용해 주세요.
본문 끝 최상단으로 돌아가기
