웹 해킹 & 보안 완벽 가이드
HTTP 프로토콜하이퍼텍스트 전송 프로토콜(HTTP) : 월드와이드웹(WWW)에서 쓰이는 핵심 통신 프로토콜- 매시지 기반 모델 (클라이언트가 요청 메시지 전송 / 서버는 그에 대한 응답 메시지 보냄)- 비연결지향적 프로토콜(요청과 응답에 대한 교환은 독립적으로 / 각기 다른 연결 사용)+) TCP : 서버와 클라이언트 간에 데이터를 신뢰성 있게 전달하기 위해 만들어진 프로토콜+) 프로토콜 또는 규약 : 컴퓨터나 원거리 통신 장비 사이에서 메시지를 주고 받는 양식과 규칙의 체계- 요청과 응답 : 헤더를 통해 다양한 정보 포함 / 헤더 밑에는 메시지 바디가 나옴 HTTP 요청- HTTP 요청 첫 번째 줄에는 3가지 요소 존재1. HTTP 전송 방법 : 일반적으로는 GET 메소드 사용(자료를 가져오는 기능)..
웹 애플리케이션에서 사용하는 방어 메커니즘 - 데이터와 기능에 대한 사용자 접근 처리(권한이 없는 사용자 접근 제한) - 기능에 대한 사용자 입력 값 처리(의도하지 않은 행동 유발 사용자 입력 제한) - 공격자에 대한 처리(직접적인 공격 대상 방어 및 보안 수준 높임) - 관리자가 안전하게 애플리케이션 관리(실시간 모니터링할 수 있는 기능을 관리자에게 제공) 사용자 접근 처리 - 애플리케이션에는 다양한 사용자 범주 존재 ex) 익명 사용자, 정상적으로 인가된 사용자, 관리적 사용자 그룹 등 → 자신이 속한 그룹 or 자신이 가진 권한에서 접근 허용 - 인증, 세션 관리, 접근 통제 보안 메커니즘 이용 인증 사용자 인증 : 사용자가 자기 자신에 대해 어떤 사용자라고 주장하는 사실을 확인하는 것 - 사용자 ..
웹 애플리케이션의 발전 초창기 월드와이드웹(World Wide Web) - 웹사이트로만 구성 - 정적인 문서를 담고 있는 정보 저장소 / 이러한 문서를 가져오기 위해 웹 브라우저 발명 - 서버 → 브라우저 (일방향) / 동일한 방식, 동일한 정보 제공 - 사용자 구별 필요 x → 사용자 인증 x - 웹 서버 소프트웨어와 연관된 보안 위협만 존재 (이미 공개된 정보만 공격함 → 정보 탈취 x) - 파일 변조를 통해 메시지 게시, 불법 파일 공유 사이트(warez)로 변조 오늘날 월드와이드웹(World Wide Web) - 웹 애플리케이션 - 서버 ↔ 브라우저 (양방향) - 사용자 등록 및 로그인, 금융 거래, 검색 및 게시물 작성 등을 지원 - 제공되는 내용은 동적 생성, 사용자에 맞춰 작성 - 개인 정보..
