1주차 웹 해킹 기술 탐색

보안 취약성- 정보 보안에 영향을 주는 소프트웨어 버그

정보 보안의 3요소

기밀성: 패스워드 개인정보 유출

무결성: 시스템의 변조, 바이러스

가용성: 서비스가 문제없이 운영되어야하는 것(dos공격)

 

해킹: 보안 취약점을 공격하는 것

해킹의 기초 단계

정보 수집- 1. 정찰 2. 스캐닝, 취약점 분석

공격(익스플로잇)- 3. 침투

포스트 익스플로잇- 4. 권한상승 5. 백도어 관리 (언제든지 접근 가능할 수 있게 만듦) 6. 흔적 지우기

웹 보안의 중요성- 웹이 일상인 시대

                       모바일앱도 웹과 통신

                       웹은 방화벽에 대해서 항상 열려있음

                       모의해킹의 관문

                       해외 다수의 버그바운티제도에 웹이 포함됨

웹 아키텍쳐

클라이언트 영역, 서버영역(로직티어(웹서버, 웹프레임워크), 데이터티어(데이터베이스))

클라이언트가 웹 브라우저를 이용하여 웹에 접속-> http(GET)를 통해 서버 영역으로 전달-> 로직 티어가 http요청을 처리, 데이터 티어에게 데이터 요청-> 데이터 티어가 로직 티어에 데이터 전달-> 로직 티어에서 데이터를 가공하여 최종적으로 클라이언트에 전달.

HTTP: 웹을 구현하기 위한 네트워크 프로토콜, 주로 80번 포트 사용.

HTTP method: get(페이지 내용 가져올 때), post(사용자가 입력한 데이터를 처리), delete, put….

                   응답 시 status code가 처리 결과 전달

                   1xx(정보전달), 2xx(요청 전달 성공), 3xx(리다이렉션), 4xx(클라이언트 쪽 에러), 5xx(서버 쪽 에러)

 

여러 실습 환경

VirtualBox: 가상화 시스템으로 컴퓨터의 일부 자원을 이용하여 새로운 운영체제와 프로그램 설치 가능

               Host시스템에 아무런 영향을 주지 않고 guest시스템을 운영할 수 있음.

               -ExtensionPack: usb사용 등 추가적인 기능을 설치하기 위한 pack

               -스냅샷 기능: 지정해둔 어떠한 상태로 다시 되돌아갈 수 있는 기능

칼리리눅스: 화이트 해커를 위한 필수 운영체제. 모의 해킹 등을 모아 놓은 리눅스 운영체제.

                웹 해킹을 위한 환경이 제공된다.

-XAMPP: 아파치 웹서버, mySQL, php등 환경을 쉽게 구성하도록 돕는 프로그램.

            웹 app을 간단히 실행하도록 도움

-DVWA: 웹 해킹을 실습하고, 대응방안을 공부할 수 있도록 제공하는 웹