조금 늦게 작성하지만.. Apache Struts2 취약점 분석 두번째 포스트입니다. 

취약점 테스트 과정부터, 왜 취약점이 발생하는지 적어보겠습니다.



지난번에 eclipse 까지 설치했습니다. 이제 Apache Struts2 공격코드를 다운받고, 실제 테스트를 진행해봅니다.



https://www.exploit-db.com/exploits/41570/




Eclipse를 키고 Windows - Preference 클릭




Server - Runtime Environmments - Add - Apache Tomcat v7.0 선택 - Next 




Browse - 설치된 Tomcat 7.0 선택 후 확인 - Next




File - Import




WAR file - Next




Run As - Run on Server




만약 제대로 안뜨면, Windows 작업 관리자를 키고 


Tomcat7을 서비스 중지 시킨 후 다시 실행해보세요!!








공격 코드를 실행하면 위 사진과 같이 명령이 실행된 것을 볼 수 있습니다. 





이제 여기부터는 왜 해당 취약점이 발생하는지, 분석한 내용을 적도록 하겠습니다. 


먼저 공격코드부터 살펴보도록 하겠습니다. 




페이로드의 가장 첫줄에는 "multipart/form-data"라는 문구가 들어갑니다.


왜 이렇게 적었는지, 취약점 발생 부분을 살펴보시면 알 수 있습니다.


(아래에 나옵니다)


그리고 해당 페이로드를 Content-Type에 저장합니다. 


HTTP Request Header의 Content-Type이 변조되어 발생하는 것 같습니다.





해당 공격코드를 실행하면, Content-Type에 페이로드가 그대로 들어가는 것을 확인 할 수 있습니다.



그럼, 왜 Content-Type에 들어간 내용이 실행되고 명령 결과를 출력하는지, 알아보겠습니다.








여기서, 왜 공격코드 맨 앞줄에 multipart/form-data 를 입력했는지 알 수 있습니다.


if 문을 통과하기 위해서, content-type을 맞춰준것입니다.










페이로드가 들어간 루틴을 쭉쭉 따라가다보면, 결국 findText라는 함수를 만나게 됩니다.


참고 : https://struts.apache.org/maven/struts2-core/apidocs/com/opensymphony/xwork2/util/LocalizedTextUtil.html


이 함수를 찾아보니까 이 함수는 여러 기능 이외에도 OGNL표현식으로 들어올 경우 


이를 실행하는 기능도 있습니다. 해당 부분에 때문에 명령이 실행되었다고 보시면 될 것 같습니다.




읽어주셔서 감사합니다.


  1. 2019.01.16 12:51

    비밀댓글입니다

    • 2019.02.03 12:14

      비밀댓글입니다


 안녕하세요! 오늘은 얼마전 KUCIS 영남권 발표에서 다뤘던 Apache Struts2 취약점[CVE-2017-5638]에 대한 내용을 적어보려합니다. 2017년 3월, 오픈소스 Apache Struts2 취약점을 이용한 공격이 다수 확산되었습니다. 2013년에도, Apache Struts2 공격 툴에 의한 공격으로 대기업, 게임사, 통신사, 금융사, 인터넷기업 등에서 사이트 접속 장애 및 정보유출 피해가 발생했습니다. 당시 한국인터넷진흥원에서도 역시 Apache Struts2 보안 취약점을 악용한 신종 해킹 주의 및 업데이트를 권고했었습니다.






*Apache Struts2 취약점 개요


최근 Apache Struts2 취약점을 이용하여 원격 코드 실행이 가능한 취약점 (CVE-2017-5638)이 발견되었다. 

해당 취약점은 Jakarta Multipart 파서를 기반으로 한 파일 업로드를 수행할 때 

HTTP Request Header의 Content-Type을 변조해 원격 코드 실행을 가능하게 한다. 

중국 해커 집단이 해당 취약점을이용한 공격을 시행할 예정이라는기사가 보도되면서더욱 더 이슈가 되었다.



 HTTP Request Header입니다. 여기서 Content-Type을 변조하여 원격 코드를 실행하는 취약점입니다.

Content-Type에 OGNL 표현식을 사용함으로써 해당 부분이 실행되어 원격 코드가 실행되었습니다.



*Apache Struts2란?


 Java EE(Java Platform, Enterprise Edition) 웹 애플리케이션을 개발하기 위한 오픈 소스 프레임워크.




*OGNL 표현식이란?


Object Graph Navigation Language의 약어. 

자바에서 지원되는 전체 범위보다 간단한 표현식을 사용하여 속성을 가져오고 설정을 허용하도록 한다. 

자바 클래스의 메소드를 실행하는 Java 용 EL(오픈소스 표현 언어).  

OGNL 스크립트를 사용하여 JAVA 클래스 메소드 실행과 간단한 배열 조작이 가능하다.


%{       }      =     <%       %>

 OGNL                        JSP     







*Apache Struts2 취약점 분석 환경 구축



1. Java 설치


http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html



홈페이지에서 Java Downloads 클릭!




Java SE Downloads 클릭



Accept License Agreement 선택 후, 운영체제에 맞는 것 선택!




환경변수를 설정해야합니다.


제어판 - 시스템 및 보안 - 시스템 - 고급시스템 설정 




시스템변수를 추가합니다.

변수 이름에는 JAVA_HOME

변수 값에는 Java가 설치된 경로를 위와같이 입력합니다.

변수 값에 맨마지막 ; 는 빼주셔야합니다.





시스템 변수 편집합니다.

변수 값에 ;%JAVA_HOME%\bin; 입력 후 확인을 누릅니다.






javac 명령어를 통해 설치를 확인합니다.




2. Apache Tomcat 설치


https://tomcat.apache.org/download-70.cgi



홈페이지에 접속 후 다운로드를 받습니다.




다운로드 받은 파일에서 Tomcat Setup을 실행합니다.





3. Eclipse 설치


http://www.eclipse.org/downloads/packages/eclipse-ide-java-ee-developers/neon3




홈페이지에 들어가서 파일을 다운로드 받고 설치합니다. 





4. Struts2 설치




이제 분석을 위한 환경구축은 끝났습니다.


[CVE-2017-5638] Apache Struts2 취약점 분석(2)에서는 


실제 분석을 했던 순서대로 이야기를 해보겠습니다.


취약점이 발생하는 원인에 대해서도 살펴보겠습니다!!!





끝! 다음편으로~

안녕하세요! RSA Conference 2017 1,2 탄에 이어 3번째 작성중입니다.


여기서는 엄청 많은 기업들이 참가했던, 기업 부스에 대한 내용을 적어볼까 합니다!!!!


West,South 두 분류로 나누어지는데 정말 정말 정말 많은 기업을 볼 수 있었습니다.


물론 한국관에 가서 Raon Secure, KISA, NSHC 등 다양한 기업도 봤구요!! 


스타트업 기업부터 큰 기업 국가기관 등등 ... 정말 많이들 오셨더라구요 ㅎㅎ



3. Expo






실내 모습입니다! 사실 진짜 좋았던것은.. 어딜 가든 기념품을 준다는 거에요 ㅎㅎ



스티커 티셔츠 충전잭 등등 엄청 많이 받았습니다!! 또가고 싶네요 ㅠㅠ



아래는 제가 이전에 보고서에 작성했던 내용입니다.






Expo에서 받았던 많은 기념품과 책자들.


RSA Conference 2017의 가장 큰 장점은 다양한 기업을 만날 수 있는 Expo이다. 기업 부스를 통해 

최신 보안 솔루션 동향을 살펴보고 프로그램 시연을 통해 어떠한 기술을 사용하는지도 파악 할 수 있었다.

많은 부스에서는 기업을 대상으로 전자 메일, 랜섬웨어, 악성코드 등에 대하여 통합적인 솔루션과 endpoint 솔루션을 선보이고 있었다



기업부스에서 가장 기억에 남는 기업들을 간단하게 정리해보았습니다.


기업명

장소

특징

JIRANSOFT

North

3226

1994년 설립된 보안 소프트웨어 회사로 주로 데이터 보안을 다룬다. 기계학습 기반으로 비즈니스를 위한 데이터를 보호하고 업무 시 발생 가능한 보안 이슈에 대한 솔루션을 제공한다. 국내에서는 의료기관, 굿네이버스 등에 솔루션을 공급한다.

Agari

South

2313

엔터프라이즈 보안, 고객 보안, 전자 메일 보안 솔루션을 제공한다. 그 중 전자 메일 신뢰 플랫폼은 기계학습으로 전자 메일의 헤더를 분석하고 보낸 사람 등 특징을 식별하여 피싱을 효과적으로 차단한다. 전자 메일의 내용을 보지 않기 때문에 고객의 민감한 데이터를 보호한다는 장점이 있다.

Onetrust

North

4523

개인정보 관리 소프트웨어 플랫폼을 제공한다. 개인정보보호 규정을 준수하기 위해 전 세계 수백 개 단체에서 사용하고 있다. 그 외에도 고객의 데이터 보안, 위험 자동화 분석, 개인정보보호 구현 방법론 등 다양한 서비스를 제공한다.

Live-Action

North

4507

IT 및 보안 현황에 대하여 실시간 시각화 플랫폼을 제공한다. 시각화를 기반으로 네트워크 관리 작업을 단순하게 할 수 있으며 시각화를 기반으로 합리적인 의사결정을 할 수 있도록 빅데이터 분석 결과를 사용자에게 제공한다.

Hacker

highschool

West

고등학생에게 네트워크 이론, 윈도우즈 및 리눅스 사용법, 그리고 각 프로토콜에 대한 설명으로 해킹에 앞서 필요한 기초 지식들을 습득할 수 있도록 교육한다. 윤리교육에 많은 투자를 하고 있는 점과 CEOBoB 프로그램에 대해 관심이 많은 것이 인상 깊었다.




DedroneDroneTracker

DroneTracker는 무인 항공기의 위협으로부터 24시간 보호 할 수 있는 모듈식 시스템이다

무인 항공기의 공격에 대하여 자동, 통합 및 자체 내장 무인 항공기 탐지, 식별 및 대책 등의 솔루션을 제공한다

소음, 운동 패턴, 실루엣 및 RFWi-Fi 신호등의 정보를 상관관계 분석을 통하여 무인 항공기를 확실하게 식별하고 

경보를 발령 하도록 Machine Learning 기법을 적용하였다




RSA Conference“Where The World Talks Security”라는 표어를 가지고 있다.

사람들과의 연결을 통해 혁신적인 아이디어를 교환하고 최신 보안 동향에 대한 Keynote, Session, Expo가 열렸다

세계 최대 규모의 정보보안 행사인 만큼 다양한 주제의 세션들을 들을 수 있었다.

550개의 회사가 참여한 Expo에서는 다양한 보안 솔루션 스타트업 제품을 살펴 볼 수 있었고 

이를 통해 세계 각국에서 보안에 관심을 많이 가지고 있음을 깨닫게 되었다.

우리나라는 비슷한 종류의 솔루션이 비슷한 기술을 통해 구현되어 있다면 Expo에서는 다양한 기술의 솔루션을 선보였다

기술적인 부분에 대한 질문을 하고 답변을 얻지 못한 점은 다소 아쉬움이 있었지만

RSA Conference 2017을 통해 나도 한 분야만 한 기술만 고집하지 말고 다양한 시각을 가지고 여러 방면에서 노력해야겠다.



'Security > Conference' 카테고리의 다른 글

RSA Conference 2017(3)  (0) 2017.05.08
RSA Conference 2017(2)  (0) 2017.05.07
RSA Conference 2017(1)  (0) 2017.05.07
10TH CODEGATE 2017  (0) 2017.04.14

안녕하세요!!  RSA Conference 2017 2탄입니다!!


1탄에서는 행사 시작하기전에 제가 먹었던것과.. 가봤던것.. 살짝 적었었는데 


여기서는 제가 들었던 세션에 대해서 약간 적어보려고 합니다~~



이건 둘째날 아침에 먹은거에요!! 조식으로 샌드위치랑 과일 에너지바 


쥬스랑 커피 등등 많이 준비되어 있었습니다! 저 샌드위치 진짜 맛있었어요 >_<




첫째날에는 주로 이곳에서 들었습니다!! 사실 영어라 듣기에 어려움이 있었습니다!ㅠㅠㅠ 


그래도 다녀온 후에 보고서를 작성해야 했기 때문에 최대한 열심히 들으려고 했습니다.


모르는 부분은 홈페이지에서 제공해주는 발표자료 보면서 해석해가면서 이해했던 것 같습니다~ 


제가 잘못 알아들어서 약간 틀린 부분도 있을 수 있습니당! ㅠㅠㅠ





행사장 가운데에는 커피, 쥬스, 과일 등 다과거리가 준비되어 있었습니다!! 


저는 오렌지쥬스와 바나나를 들고 세션장으로 들어갔습니다.




1. Security Foundation


"Security Foundations 세미나는 가장 중요한 보안 원칙에 대해 설명하고, 

주간에 논의 할 최신 고급 보안 문제에 대한 이해를 높이기 위해 필수 개념을 제공한다. 

보안 업계의 거물 중 일부가 출연하여 근본적인 보안 주제에 대한 최신 시각을 제공한다. 

보안 분야에서 5년 이하의 직무 경험을 가진 실무자를 위해 설계되었지만 

전반적인 환경에 제공 되어지는 프레임 워크는 RSA 컨퍼런스 참석자 전체에게 도움이 되는 내용이다."


 주제  

 Introduction, Security Industry and Trends: Trends, Building Bloks for a Soild Security Plan Basics

시간

 February 13, 2017 | 9:00 AM 5:00 PM

 강의자 

 Hugh Thompson



행사장 사진입니다! 9시부터 강의가 시작되었어요~


아침 일찍 들어와서 그런지 사람은 많이 없었어요. 저는 앞에서 5번째쯤..? 앉았습니다!


다음은 강의를 들은 후 발표자료를 참고하여 정리한 내용입니다. 



 

  정보보안 기초와 보안 동향의 내용을 다루었으며 개인의 보안에 대한 정보 공유를 목적으로 강의가 진행되었다

규정기술공격자고객의 관점에서 최근 변화를 설명하였으며 보안의 경제적 측면에 대하여 5가지로 분류하여 설명하였다.

 

Shift 1. Compliance and Consequences

모든 비즈니스 프로세스는 규정지침표준을 정하고 이를 준수해야 한다이러한 과정은 감사를 통해 이루어지며 감사는 비즈니스 상 급한 사건들에 대하여 위험에 대한 경제적인 측면을 변화시키는 역할을 수행해야한다또한 비즈니스 상에서 만약 실패의 횟수가 증가하였다면 그에 따른 공시 법률이 생기기 때문에공시 법률은 결과가 실패인 경우의 증가를 의미한다.

 

Shift 2. Technology

현재 많은 응용프로그램들은 웹에서 작동을 하며웹을 통한 통신 시에 데이터는 암호화(SSL)가 되는 추세이다또한 과거 Shadow 형식의 IT 기술과 동향이 최근에는 Enterprise IT로 변화하는 추세이다이로써 클라우드와 같은 개념들이 등장하였고클라우드로 인한 IT와 관련된 주변 개념들이 변화 하고 있다.

 

Shift 3. Attackers

사이버 범죄자들이 조직화됨으로써 그들은 이익을 추구하게 되었다최근에는 블랙마켓 등을 이용해 경쟁사의 서버를 마비시키거나 내부 위협자를 통해 사내 중요 문서를 사들이고 이를 상업적으로 이용하는 등 경제적인 이익을 위한 해킹 사고가 빈번하다공격자는 인간의 사회 공학적 약점을 악용하기 위하여 이전과는 다른 방법을 모색하고 있으며 핵티비스트정부 지원 해커개인집단 등 다양한 형태로 변화하고 있다사이버 공격은 삶의 모든 부분에서 발생 할 수 있다.

 

Shift 4. Customer expectations

기업에서 고객은 보안을 구분자로 사용한다보안은 비즈니스의 비 협상 가능한 부분이라 여겨지는데, SLA(Service Level Agreement) 서비스 수준 협약서로 보안을 강화한다서비스를 제공함에 있어서 공급자와 사용자간에 서비스에 대하여 측정지표와 목표 등에 대하여 협약서를 작성한다또한 이에 따라 서비스를 제공해야 한다.

 

Economics of Security

보안을 경제학 관점에서 살펴보았다사회 과학은 주로 공격자의 동기경제 및 비즈니스 위험에 대한 설명과 분석에 집중이 되어있다. 5가지 근본적인 불변의 법칙과 4가지 결과가 특징이다.

 

Law 1, Corollary 1

대부분의 공격자는 악하거나 이상한 사람이 아니라 단지 어떠한 목적을 가지고 공격을 시도한다공격자의 유형은 핵티비스트정부 주도 해커개인 해커단체 해커내부 위협자 등 다양하며 그들은 모두 목적을 가지고 있다때문에 공격자의 목적을 파악하여 사전에 그에 따른 보안 조치를 하는 것이 중요하다이에 따른 결과로 악한 사람들을 보호 할 예산은 없지만 더 약한 목표물을 찾는 사람들을 보호 할 수 있다.

 

Law 2, Corollary 2

보안은 완벽한 보안에 대한 투자가 아니다단지 약간의 투자로 인하여 발생 가능한 위험을 완화하는 것이다이를 위해 비즈니스 상에서 발생 가능한 잔존 위협을 판단하고 대책을 마련하는 과정이 필요하다만약 위협에 대한 정확한 판단이 없는 경우 최근의 위험에 집중하여 투자하는 경향이 있다.

 

Law 3, Corollary 3

프로그램의 단순한 실수 등으로 인하여 공격자의 독창적인 공격 기법이 아니더라도 가장 치명적인 피해를 끼칠 수 있다그러나 프로그램에 적절한 보안조치를 한다면 공격자는 단순한 실수가 아닌 매우 독창적이고 어려운 공격 기법을 생각해내야 할 것이다때문에 작은 투자가 공격자에게 좀 더 어려운 환경을 제공 해 줄 수 있다.

 

Law 4, Corollary 4

보안 기술을 많이 접해보지 못했거나 경험이 부족한 사람들 (직원사용자고객 등)은 자연스럽게 기술로 보안 결정을 내린다때문에 사용성을 알려주면서 사람들에게 보안을 알리는 것이 중요하다이러한 교육을 통해 시스템을 보다 안전하게 사용 할 수 있는 환경을 제공해야 한다.

 

Law 5

   공격자는 프로그램상의 취약점네트워크 취약점웹 애플리케이션 취약점 등 일반적으로 침투 할 수 있는 보안 이슈에 대해 접근 하는 방법 이외에도 다양한 방법으로 공격을 시도한다예를 들면 물리적 보안을 이용 하거나 내부 직원으로 스파이를 활용 하는 등 다양한 약점에 대하여 생각한다때문에 물리적 보안, 내부자 보안관리적 보안 모두 중요하다.  



RSA Conference 2017의 첫 번째 세션으로 Security Foundation을 선택한 것은 

보안에 대한 컨퍼런스의 인식이 어떠한지 판단해 보고 싶은 바람이 있었습니다.

 Security Foundation의 다양한 강의 중 에서도 특히 RSA 의장인 

Hugh Thompson의 첫 번째 강의에서 컨퍼런스의 색깔을 파악 할 수 있었구요,  

보안에 대한 정확한 투자 대비 가치를 판단해야 한다는 문제가 있음에도 불구하고

컨퍼런스에는 최근 경향에 맞는 많은 솔루션들을 제시 해 줄 것이라는 예상을 할 수 있었습니다!

또한 컨설턴트로써 타 기업에 대하여 보안 솔루션과 컨설팅을 진행 할 시 

보안 경제학 관점에서의 설득이 매우 중요하다는 사실을 깨닫게 되었습니다.






2. Keynote


RSA Conference 2017 - Openning Keynote




Openning Keynote가 시작되었습니다!


3층인가... 에서 시작했는데 사람도 엄청 많고 진짜 멋있었습니다!





Openning이고 오전 11시쯤에 시작했는데.. 거의 파티수준이었어요 


모두들 야광 팔찌를 끼고 손을 들고있었는데 뭔가 엄청 멋있고 


제가 이 행사장에 함께 있다는것도 벅차고 그런 신기한(?) 기분이었던 것 같스빈다 ㅎㅎ


아! 그리고 개인적으로 바이올린 연주가 가장 기억에 남습니다.. 정말 멋있었습니다! ㅠㅠ




RSA는 대표적인 공개키 암호입니다. MIT 공대 연구팀 소속의 Rivest, Shamir, Adleman에 의해 탄생했습니다.


사진속에 보이시죠? 키노트에서 세 학자의 이야기를 들을 수가 있었습니다!!! 


제가 2학년때 공업수학 시간에 '풀리지 않는 소수의 비밀'이라는 주제로 RSA 이야기를 했던 적이 있는데..


진짜  이렇게 만나게 되다니 정말 신기하기도하고 감동스럽기도 했습니다 ㅎㅎㅎ


RSA는 이 세 학자의 머리글자를 따서 만든 명칭으로, 큰 수의 소인수분해가 매우 어렵다는 것에 기반하여 만들어졌습니다.


소수의 규칙이나 비밀이 풀린다면, 이 암호 또한 풀리게 될텐데, 현재 공인인증서부터 많은 것들이 다 풀리겠죠?


소수의 비밀을 다룬 리만의 가설로 수업시간에 발표를하고 영화까지 찾아서 봤던 기억이 나네요 ㅎㅎ 


 

Opening Keynote에서는 Microsoft, Macafee, DELL 등에서 보안의 발전을 위한 Key Point에 대해 언급하였다

그 중 Microsoft는 “Cyber space is the new battle field. We are the first responder“ 이라며 

사이버 세계의 규모가 성장하고 빠르게 변화함에 따라 우리는 혁신을 이끌어가는 주도자라 하였다.

 RSA Conference 2017에 참가한 각 기업의 CEO, CSO, CISO와 우리들에게 자기 자신은 물론 

시민을 지켜내기 위하여 변화를 선도하는 인물이 되어야 한다고 하였다

나 또한 보안 기술자만이 아닌 CEO, 이사진사회 전체 구성원들이  

보안에 보다 큰 관심과 투자를 보임으로써 보안이 보다 성장 할 수 있을 것이라 생각한다.




RSA Conference 2017 - The Seven Deadly Attacks 



  • The Seven Deadly Attacks
  • HVF LabsCEOBen JunRSA Conference 2017의 의장인 Hugh Thompson이 미래에 대한 의견을 주고받았다. Hugh ThompsonIT의 발전으로 데이터의 양은 방대하게 늘어났으며, 이에 따라 데이터를 시각화하고 중요한 데이터를 판독하기 위한 체계가 필요하다고 언급하였다. 이러한 체계를 구성하기 위한 기술로써는 딥 러닝, 머신 러닝, 데이터 마이닝 등 최신 기술을 언급하였다. 



이 Keynote 강연은 가장 마지막인 금요일 오전에 들었던 내용입니다. 


행사가 끝난 후에도 이 세션과 관련된 여러 기사들과 정리된 자료를 살펴 볼 수 있었습니다.


그것들과 강의 내용을 정리한 내용은 아래와 같습니다.



RSA Conference 2017에 참가한 SANS연구소 보안전문가들은

 Keynote 세션에서 가장 위험한 사이버공격 기법’ 7가지를 선정하여 소개했다.


1

랜섬웨어

2

취약한 IoT 기기 공격 위협

3

랜섬웨어와 IoT의 만남

4

산업제어시스템(ICS)

5

취약한 난수생성에 따른 공격 위협

6

웹서비스 사용 확대에 따른 소프트웨어(애플리케이션)위협

7

NoSQL 데이터베이스(DB) 공격


이 중 가장 눈에 띄는 기법은 랜섬웨어이다. 각 기업에서는

2016년과 마찬가지로 2017년에도 랜섬웨어에 대한 대비가 필수적이다.

또한 보안에 취약한 사물인터넷(IoT) 기기는 공격을 당한 뒤에

또 다른 공격 무기로 활용되어 DDoS 등 심각한 피해를 유발 시킬 수 있다.

때문에 IoT 기기에 개별 계정을 만들어 사용 하는 등 관리적 보안대책이 필요하다.

이와 더불어 웹서비스와 클라우드 사용의 확대로 인하여 소프트웨어의 위험성이 커지고 있다

개발자들은 스스로 보안 관리에 신경을 써야 하며, 지속적인 모니터링과 보안 감사 등이 이뤄져야 한다. 





세션과 키노트까지 적다보니 글이 엄청 길어졌네요!!! Expo와 마무리 글은 3탄에서 적어보도록 하겠습니다 ㅎㅎ


긴 글 읽어주셔서 감사합니다~~ 







'Security > Conference' 카테고리의 다른 글

RSA Conference 2017(3)  (0) 2017.05.08
RSA Conference 2017(2)  (0) 2017.05.07
RSA Conference 2017(1)  (0) 2017.05.07
10TH CODEGATE 2017  (0) 2017.04.14

안녕하세요!  RSA Conference 2017에 다녀온 후기를 작성하려 합니다 ㅎㅎ


RSA Conference 2017은 2월 13일 ~ 17일 5일간 미국 샌프란시스코에서 열렸습니다!


사실 이 글을 작성하는 날짜는 5월이네용..... 블로그를 워낙 관리안하다가 


최근 관리하기 시작해서 전에 다녀온 컨퍼런스 후기까지 지금에서야 쓰게 되었네요! ㅠㅠ




RSA Conference 2017을 다녀온 후에, 해외연수 보고서와 트랙 보고서 등을 작성을 했습니다.


관련 내용을 포스팅 하려고 합니다!! 정말 많이 배우고 재밌었던 10일간의 해외연수였습니다~


RSAC 2017의 주제는 "Power Of Opportunity" 기회의 힘 입니다. 


발표자료, 영상, 사진 등은 홈페이지에서 확인 하실 수 있습니다!




2월 11일 - 12일 주말동안 사전 등록을 하고 있어서 미리 가서 행사장 구경하고 왔습니다~


사진은 RSAC 2017의 주요 세션 발표가 이루어지는 Moscone Center west 입니다. 




구경 후에는 행사장 근처  union square에 있는 햄버거가게에서 수제 버거를 먹었습니다!!!!


진짜... 패티부터 주문 즉시 구워주는데 엄청 맛있엇습니다..  가게 이름을 모르겠네요 ㅠㅠㅠ


옆에는 피자집도 있었는데 다음날 피자도 먹었습니당....ㅎㅎ 피자도 진짜 맛있었습니다!!! 



Moscone Center 의 North와 South에서는 기업 박람회가 열립니다. 


정말 많은 기업이 참가하여, 보안 솔루션 및 서비스를 홍보?설명? 하는 공간입니다!! 


월요일 화요일에 오후시간에는 주로 기업 박람회를 돌아다녔습니다~ 정말 너무너무너무 많았어요!!ㅠㅠ



일요일에는 다시 행사장에 와서 등록을 했습니다 짝짝짝!!!! 저기가 BoB의 포토존이었습니다 ㅎㅎ 



RSAC 2017의 가방이랑 물병 책자 노트 등등 기념품을 받았습니다!


물병은 저날 바로 잃어버렸어요 ㅠㅠ 가방은 아직도 잘 쓰고 있습니다~ 수납공간이 많아서 좋아요!



등록 후에는 근처 공원에서 사진도 찍고 쉬다 왔습니다!! ㅎㅎㅎ



그리고 첫날 먹었던 햄버거집 옆에서 피자도 먹었어요.. 너무맛있었습니다..흐흐


사진에는 작아보이는데 사실 저거 한판가지고 5명이서 먹었습니다! 그래도 배불렀어요!!!



마지막은 야경짤입니다. 여기가... 어딘지 모르겠는데... 


숙소로 돌아가는 길에 있던 곳입니다~~ 저 건물 근처까지 갔는데 무서우신 분들이 많아서 


다시 돌아왔습니당.... ㅠㅠㅠㅠㅠㅠ 


여기까지 포스트를 마치고 제가 들었던 세션이나, 만났던 기업에 대해서는 


RSA Conference 2017(2)에 적도록 하겠습니다! 


긴 글 읽어주셔서 감사합니다 ㅎㅎㅎ


'Security > Conference' 카테고리의 다른 글

RSA Conference 2017(3)  (0) 2017.05.08
RSA Conference 2017(2)  (0) 2017.05.07
RSA Conference 2017(1)  (0) 2017.05.07
10TH CODEGATE 2017  (0) 2017.04.14

올해로 10주년인 CODEGATE 2017에 다녀왔습니다.


이번 CODEGAT 2017은 4월 12일 화요일부터 4월 14일 목요일까지 진행되었어요!


저는 아쉽게도 14일 목요일에만 다녀올 수 있었습니다~


이번 행사는 


Sapiens 2.0 := Human * Machine

인간과 기계의 새로운 지혜가 보안의 해답을 찾다



라는 주제를 가지고 3일간 진행되었고, 매우 매우 매우 많은 사람들이 (전 세계적으로) 다녀갔다고 하네요.



BoB 연구원님께서 공짜표를 주셨습니다!! 
선착순으로 배포했는데 받게 되었네요 ㅎㅎ 감사합니당





먼저 테크니컬 세션으로 갔습니다!! 완전 컸어요!! 


일찍오신 사람들이 많아서 맨 뒷자리에서 들었습니다 ㅠㅠ 


영어발표... 너무 어려웠습니다 ㅠㅠ





그런데.. 번역 해주는것도 주시고.. 이거 처음해봤는데 신기합니다. 





10주년이라 그런지 매우 매우 웅장하네요 ㅎㅎㅎ






여기는 로봇해킹존인데, 인기가 너무 많아서 줄이 길어서 못했습니다 ㅠㅠㅠ 


코딩을 해서 저 미로같은 길을 통과하는 것 같았는데.... 


차들이 요리조리 잘 움직이더군요 ㅎㅎㅎㅎ 못해서 아쉬웠습니다!ㅠㅠ




사실 갠적으로 젤 재밌었던건 타자왕 선발 대회 입니다 ㅎㅎㅎㅎㅎ


열심히 연습했는데 결국 6등 ...ㅠㅠㅠㅠ 그래도 예쁜 티셔츠 받았습니다!


사진에는 5등이지만 이후에 6등인가 7등으로 내려갔어요 ㅠ_ㅠ






동아리원들과 사진도 찍었습니다! 수요일에는 CSS 인원들이 더 많이왔는뎅.. 같이 못봐서 아쉽네요 ㅠㅠ



코드게이트 10주년이라 그런지 행사가 엄청 크게 열린것 같아요.!!!! 



사람들 만나러 다니고 이것저것 구경하고하느라 재밌었습니다.



해킹 동영상 특히 동아리사람들이 제출했던 게임핵 재밌게 봤구요~ 



BoB 세션 뿐만 아니라 고등학생 친구들의 발표까지 정말 재밌는 주제 많았던 것 같습니다!!! 이상 끝~~~



읽어주셔서 감사합니다!!!!!


'Security > Conference' 카테고리의 다른 글

RSA Conference 2017(3)  (0) 2017.05.08
RSA Conference 2017(2)  (0) 2017.05.07
RSA Conference 2017(1)  (0) 2017.05.07
10TH CODEGATE 2017  (0) 2017.04.14

+ Recent posts