웹해킹 스터디 1주차

2강 <웹 기초 지식>

Web Browser(웹 브라우저)

HTTP를 통해 인터넷 상에서 통신을 하며 서버로부터 전달받은 웹 리소스들을 가공해 사용자가 전문지식 없이 웹을 사용할 수 있도록 도와주는 소프트웨어  ex) Chrome, Edge, Safari, Firefox

 

Web Resource(웹 리소스)

웹에서 사용하는 콘텐츠

ex) HTML(Hyper Text Markup Language), CSS(Cascading Style Sheets), JS(JavaScript), image, video 등

 

URl (URL)

Uniform Resource Identifier의 약자로 리소스를 식별하기 위한 식별자

 

 

출처 DreamHack <Introduction of Webhacking>

• Scheme  웹 서버에 접속할 때 어떤 체계(프로토콜)를 이용할지에 대한 정보를 담고있는 요소 (http/https)
• Host  Authority의 일부, 접속할 웹 서버의 호스트(서버 주소)에 대한 정보를 가지고 있는 요소 (example.com)
• Port  Authority의 일부로써 접속할 웹 서버의 포트에 대한 정보를 가지고 있는 요소 (
• Path  접속할 웹 서버의 경로에 대한 정보를 가지고 있으며 /로 구분하는 요소 (/path)
• Query  웹 서버에 전달하는 파라미터(추가적인 정보), URL에서 ? 뒤에 붙는 요소 (?search=1)
• Fragment  메인 리소스 내에 존재하는 서브 리소스에 접근할 떄 이를 식별하기 위한 정보를 담고 있으며 URL에서 #뒤에 붙는 요소 (#fragment)

 

HTTP (HyperText Transfer Protocol Secure), HTTPS(모든 데이터가 평문으로 암호화 없이 전송되는 HTTP와 달리 암호화를 거침)

URl에서 Scheme(Protocol)에 해당

컴퓨터 내부 혹은 컴퓨터 사이에서 어떻게 데이터가 교환되는지 정의하는 규칙 체계

HTTP는 사용자가 서버에 요청을 하는 Request와 사용자의 요청에 대한 서버의 응답인 Response로 이루어짐

• HTTP Request  서버에 대한 요청
• HTTP Response 사용자의 요청에 대한 서버의 응답

HTTP는 하나의 Request와 Response의 쌍이 독립적으로 구성되어 통신하는 connectionless, stateless 프로토콜이다.

• connectionless  하나의 요청에 하나의 응답을 한 후 네트워크 연결을 끝맺는 것을 의미
• stateless  네트워크가 연결이 끝맺을 때 상태를 유지하지 않는 것을 의미

 

Cookie  HTTP요청마다 새로운 커넥션을 열기 때문에 사용자 인증을 계속해서 해야 한다는 단점을 보완하기 위해 나온 개념

 

Session  Cookie에 인증상태를 포함한 데이터를 저장하면 사용자가 임의 사용자로 인증된 것 처럼 요청을 조작할 수 있는데 이때 서버에 데이터를 저장하기 위해 사용하는 것

데이터를 서버에 저장하고 해당 데이터를 접근할 수 있는 유추할 수 없는 랜덤 문자열 키를 만들어 응답 -> Session ID

 

IP Adress 네트워크상에서 통신이 이루어질때 장치들을 식별하기 위해 사용되는 주소

Domain Name  IP Adress를 사람이 외우기 쉽고 의미를 부여해 사용하기 위한 것

 

Web Server  사용자의 요청을 해석하여 처리한 후 응답하여 주는 역할 수행 ex)nginx, Apache, Tomcat, IIS

Web Application  사용자의 요청을 동적으로 처리할 수 있도록 만들어진 어플리케이션. 웹 어플리케이션을 작성할 때는 사용자가 요청한 내용을 동적으로 처리하기 위해 Web Application Language가 사용되며 대표적으로 PHP, NodeJS, Python, Java등이 존재

 

 

3강 <웹 해킹 개요>

Client-side Attack   서비스 사용자에 대한 공격

Server-side Attack  서비스를 운용하는 서버에 대한 공격