OWASP TOP10 2007 과 웹 위협에 있어서의 새로운 경향

a. 웹 위협에 있어서의 새로운 경향 분석
b. OWASP TOP10 2007
c. OWASP TOP10 2007 에서 지적한 웹 보안 취약점 분석

OWASP TOP10 2007 상의 취약점 이용한 모의 해킹 실습 1

a. A2 ? Injection Flow
- 중국발 해킹의 주력 공격을 이루었던 SQL 인젝션 기술 중 Blind SQL 인젝션을 이용한 방법 (T/F를 이용한 기법 Delay Time을 이용한 기법 )과 ARP Spoofing을 이용한 악성코드 삽입 기법에 대해 알아본다.
b. A4- 직접 객체 참조
- 액티브 X 컨트롤을 사용한 웹 하드 포인트 정보 및 인증 값 조작에 대해 알아본다.
c. A7- 취약한 인증 및 세션 관리
- Flash 게임의 결과 값 조작을 통한 이벤트 당첨 조작에 대해 알아본다.
d. A8- 불안전한 암호화
- 보안서버 탑재 후에도 SSL MITM을 통해 인증 정보 스니핑 가능한 점과 DBMS에서 기본으로 지원하는 암호화 기능을 통해 저장한 정보는 복호화가 가능함을 알아본다.
e. A10- URL 접근 통제 실패
- 자동화 도구를 통한 강제 브라우징으로 숨겨진 페이지 접근 가능함을 알아본다.

웹 보안 실무 사례

a. 해외 웹 보안 업무에 대한 실제적 사례
b. 기업 내에서 웹 보안을 어떻게 고민하고 대응해야 하는가 ?
c. 웹 보안 업무에 대한 아이디어와 벤치마킹 정보 제공

OWASP TOP10 2007 상의 취약점 이용한 모의 해킹 실습 2

a. A1. Cross Site Scripting (XSS)
- XSS 로 할 수 있는 Phishing, 세션정보 가로채기, 악성코드 삽입 가능한 취약점에 대해 다양한 시나리오로 XSS의 문제점을 알아본다.
b. A3. Mailcious File Execution
- 외부 파일을 포함할 수 있는 취약한 사이트에서의 문제점에 대해 알아본다.
c. A5. Cross Site Request Forgery(CSRF)
- 로그인한 사용자가 악성코드가 포함되어있는 페이지에 접속했을 때 로그인된 사용자의 권한으로 특정 요청을 할 수 있는 문제점에 대해 알아본다.
d. A6. Information Leakage and Improper Error Handling
- 현재의 웹은 다양한 에러 메시지를 제공한다. 공격자에게 유용하게 작용될 수 있는 에러 메시지들에 알아본 후 효과적인 에러 처리에 대해 알아본다.
e. A9. Insecure Communications
- 개인정보 등이 담긴 중요한 데이터 전송시에 암호화를 하지 않았을 때의 문제점에 대해 알아본다.