list

1. 제작 동기
2. FILE DEFENDER 란?
3. 사이트 특징
4. 구동 영상
5. PROJECT 발자취

6. 마무리
안전한 커뮤니티가 되길 바라십니까?

PRADA Project 1/22
FILE
DEFENDER
안전한 커뮤니티가 되길 바라십니까?

PRADA Project 2/22
당신은 안전하다고 생각하십니까?

11년 피해신고 2만 1천 건
11년 국내 스턱스넷 1만 건
대기업들의 보안사고
DDOS
이래도 안전합니까?
PRADA Project 3/22
용량 제한

EXE 파일 첨부 차단

PRADA Project 4/22
- 최소한 파일 게시판은 안전해야 합니다.
- 악성코드의 시작은 확장자 변조,

- 막아야 합니다!
PRADA Project 5/22
feature of
this project

확장자 변조 파일 차단
웹쉘 파일 차단
Owasp top 10
기타 취약점 방어

PRADA Project 6/22

IP차단 기능
About
File signature

89 50 4e 47 0d 0a 1a 0a

89 50 4e 47 0d 0a 1a 0a

PNG

zip

PRADA Project 7/22
About
Web shell

웹 쉘(web shell)은 업로드 취약점을 통하여 시스템
에 명령을 내릴 수 있는 코드를 말한다. -위키백과
PRADA Project 8/22
How to prevent
Web shell

공격 구문 일부

F.S.D 소스배열 일부

PRADA Project 9/22
DB

F.S.D

FILE
DEFENDER
1. 작성한 글을 DB에 전송
2. F.S.D로 첨부된 파일명 전송
3. F.S.D에서 파일 검사
4. 변조여부를 DB로 전송
contents
PRADA Project 10/...
Main page

PRADA Project 11/22
logs

-업로드 시 시그니쳐 검사와 웹셸 검사에서 차단된
게시물의 파일명, IP를 남김.
-지속적인 관리와 융통성있는 관리가능.
PRADA Project 12/22
pictograph

- 무슨 확장자로 변조가 많이 되는지 한달 간의 통계 그래프.
- 유저들에게 공개.
PRADA Project 13/22
Blocking IP

PRADA Project 14/22
signatures
출처: http://www.garykessler.net/library/file_sigs.html

PRADA Project 15/22
Owasp top 10
A1. Injection 취약점
A2. XSS (Cross Site Scripting)
A3. 세션 처리 미흡

A4. 직접 객체 참조
A5. CSRF (Cross Site Request Forh...
Owasp top 10
A1. Injection 취약점

- 연동 후, 변수에 담아서 사용.
- <,> 같은 기호 다른 문자로 Replace.

A2. XSS (Cross Site Scripting)

- 게시판 사용시...
DB schema
prada

admin

Adminid
Adminpwd

PRADA Project 18/22

log

intSeq
Date
Bad_ip
Up_file
Reason
Reason2
Ip_port

tes...
preview

PRADA Project 19/22
preview

PRADA Project 20/22
Process of
this project
8월

11월

프로젝트 팀 결성 F.S.D 소스 제작

보안 및 ASP 스터디

9월

PRADA Project 21/22

PPT 제작 및 발표

F.S.D 소스 제작
웹 ...
member of
this project
이효성

이경엽

C Programming
ASP
Mssql, 기획

C Programming
ASP
Mssql,PPT

김성혁
팀장
ASP
PPT

가창규

임동근

ASP
기...
Plan of
This project
OWASP
취약점
보안

1
PRADA Project 23/22

2
체계적
회원제
도입

모바일
업로드
지원

3

4

모바일
웹 보안

게시판
기능강화

5
Thank you ! ! !

Prada Team
FILE
DEFENDER

문의메일
Upcoming SlideShare
Loading in …5
×

File Signature Defender

488 views

Published on

프로젝트 경진대회 출품작

  • Be the first to comment

  • Be the first to like this

File Signature Defender

  1. 1. list 1. 제작 동기 2. FILE DEFENDER 란? 3. 사이트 특징 4. 구동 영상 5. PROJECT 발자취 6. 마무리 안전한 커뮤니티가 되길 바라십니까? PRADA Project 1/22
  2. 2. FILE DEFENDER 안전한 커뮤니티가 되길 바라십니까? PRADA Project 2/22
  3. 3. 당신은 안전하다고 생각하십니까? 11년 피해신고 2만 1천 건 11년 국내 스턱스넷 1만 건 대기업들의 보안사고 DDOS 이래도 안전합니까? PRADA Project 3/22
  4. 4. 용량 제한 EXE 파일 첨부 차단 PRADA Project 4/22
  5. 5. - 최소한 파일 게시판은 안전해야 합니다. - 악성코드의 시작은 확장자 변조, - 막아야 합니다! PRADA Project 5/22
  6. 6. feature of this project 확장자 변조 파일 차단 웹쉘 파일 차단 Owasp top 10 기타 취약점 방어 PRADA Project 6/22 IP차단 기능
  7. 7. About File signature 89 50 4e 47 0d 0a 1a 0a 89 50 4e 47 0d 0a 1a 0a PNG zip PRADA Project 7/22
  8. 8. About Web shell 웹 쉘(web shell)은 업로드 취약점을 통하여 시스템 에 명령을 내릴 수 있는 코드를 말한다. -위키백과 PRADA Project 8/22
  9. 9. How to prevent Web shell 공격 구문 일부 F.S.D 소스배열 일부 PRADA Project 9/22
  10. 10. DB F.S.D FILE DEFENDER 1. 작성한 글을 DB에 전송 2. F.S.D로 첨부된 파일명 전송 3. F.S.D에서 파일 검사 4. 변조여부를 DB로 전송 contents PRADA Project 10/22 5. 작성자에게 결과 통보
  11. 11. Main page PRADA Project 11/22
  12. 12. logs -업로드 시 시그니쳐 검사와 웹셸 검사에서 차단된 게시물의 파일명, IP를 남김. -지속적인 관리와 융통성있는 관리가능. PRADA Project 12/22
  13. 13. pictograph - 무슨 확장자로 변조가 많이 되는지 한달 간의 통계 그래프. - 유저들에게 공개. PRADA Project 13/22
  14. 14. Blocking IP PRADA Project 14/22
  15. 15. signatures 출처: http://www.garykessler.net/library/file_sigs.html PRADA Project 15/22
  16. 16. Owasp top 10 A1. Injection 취약점 A2. XSS (Cross Site Scripting) A3. 세션 처리 미흡 A4. 직접 객체 참조 A5. CSRF (Cross Site Request Forhery) A6. 보안 설정 미흡 A7. URL 접근 통제 미흡 A8. URL Redirection & Forward A9. 민감한 정보저장 방식 A10. 전송계층 보안 미흡
  17. 17. Owasp top 10 A1. Injection 취약점 - 연동 후, 변수에 담아서 사용. - <,> 같은 기호 다른 문자로 Replace. A2. XSS (Cross Site Scripting) - 게시판 사용시, HTML 원천봉쇄 - 화이트 리스트 방식으로 필요한 것 허용. A3. 세션 처리 미흡 - 일정 시간 응답 없을 시, 세션을 끊음. A4. 직접 객체 참조 - Get방식 사용 자제. - 아직은 보안 미흡. A7. URL 접근 통제 미흡 - 디렉토리 리스팅 방지. - URL 직접 접근 방지.
  18. 18. DB schema prada admin Adminid Adminpwd PRADA Project 18/22 log intSeq Date Bad_ip Up_file Reason Reason2 Ip_port test intSeq strName … strUserIP Result Wresult Ip_port Blocked_ip blocked Graph fileExt date
  19. 19. preview PRADA Project 19/22
  20. 20. preview PRADA Project 20/22
  21. 21. Process of this project 8월 11월 프로젝트 팀 결성 F.S.D 소스 제작 보안 및 ASP 스터디 9월 PRADA Project 21/22 PPT 제작 및 발표 F.S.D 소스 제작 웹 사이트 제작 10월
  22. 22. member of this project 이효성 이경엽 C Programming ASP Mssql, 기획 C Programming ASP Mssql,PPT 김성혁 팀장 ASP PPT 가창규 임동근 ASP 기획, web programming C Programming ASP Mssql PRADA Project 22/22
  23. 23. Plan of This project OWASP 취약점 보안 1 PRADA Project 23/22 2 체계적 회원제 도입 모바일 업로드 지원 3 4 모바일 웹 보안 게시판 기능강화 5
  24. 24. Thank you ! ! ! Prada Team FILE DEFENDER 문의메일

×