1. 웹 보안의 중요성
- 기업환경에서 웹이 사용하는 네트워크 포트를 방화벽에 항상 열려있다 -> 모의 해킹의 대상
- 모바일앱 또한 웹 서버와 통신하고 있음 -> 각종 데이터는 웹서버와 통신
- 버그 바운티 모의 해킹 대상
2. 버그 바운티
보안 취약점을 찾아 보고하면 보상금을 주는 방식
**대상 사이트는 모드 자사의 포털 사이트이다
google/youtube/blogger/facebook/instagram/onedrive/outlook 등
참고사이트
Bugcrowd.com : 버그 바운티를 열 여력이 되지 않은 회사의 웹 사이트들이 사이트와 금액을 제시
3. 웹 아키텍쳐
웹 브라우저를 이용하여 웹에 접속 -> http를 통해 서버 영역으로 전달 -> 로직 티어가 http 요청을 처리, 데이터 티어에게 데이터 요청 -> 데이터 티어가 로직 티어에 데이터 전달 -> 로직 티어에서 데이터를 가공하여 최종적으로 클라이언트에 전달
4. HTTP
- Hyper Text Transfer Protocol
- 웹을 구현하기 위한 네트워크 프로토콜
- 주로 80번 포트 이용
- 클라이언트가 요청/서버가 응답
- HTTP method : get - 페이지 내용을 가져올 때 / post - 사용자가 입력한 데이터를 처리할 때 / Delete / Put 등
- 응답 시, status code가 전달 -> 에러나 요청 처리 결과
[HTTP 응답코드]
- 1xx : 정보전달
- 2xx : 요청이 잘 전달되었을 때
- 3xx : 리다이렉션 시
- 4xx : 클라이언트 쪽 에러
- 5xx : 서버 쪽 에러
5. 세션 유지와 쿠키
HTTP는 stateless(상태를 저장하지 않음)이기 때문에,
세션 ID를 사용하여 이전 상태를 유지 -> 한번만 로그인하면 됨
세션 ID
- 쿠키로 부여
ex) Cookie : JSESSINID = ABCDEFGH12345678
- 로그인 시, 서버는 set-cookie 헤더를 이용해 쿠키를 전달하고 브라우저에서 이를 저장해두었다가 요청을 할 때마다 세션 쿠키를 cookie 헤더를 통해 전송
- 서버는 ID값을 확인하여 로그인한 것으로 간주하여 권한을 주거나, 페이지를 보여줌
'로그인 한 것으로 간주한다?'
-> 어떤 사람의 session id를 알게되면, 다른 사용자는 그것을 이용하여 사용자 권한 탈취 가능
-> 하이재킹 공격 가능
-> 세션 ID 잘 보호해야 함
'Study Group > 2021 동계 학습동아리' 카테고리의 다른 글
| 6회차 ] 팀원들을 위한 AI문서 작성 (0) | 2021.01.22 |
|---|---|
| 5회차 ] gcp 연동 및 연결 테스트 (0) | 2021.01.22 |
| 4회차] 학습 내용 review (0) | 2021.01.18 |
| 2주차] 화이트해커가 되기 위한 8가지 웹 해킹 기술 - 화이트 해커와 웹 보안 (0) | 2021.01.08 |
| 1주차] 화이트해커가 되기 위한 8가지 웹 해킹 기술 - 실습환경 구성하기 (0) | 2021.01.06 |
