1.웹 해킹이란 무엇인가?
웹 해킹: 웹 서비스 상에서 발생될 수 있는 모든 보안 허점을 이용해 악의적인 행위를 하는 것
방화벽 도입 시점부터 웹해킹이 주목되었음 => 대외 서비스가 필요 없는 것들은 방화벽에서 모두 차단해버리고 내부에서만 접근 하겠다!! (ex대표적인 프로토콜: HTTP/HTTPS)
2.웹 해킹 공격의 종류
->SQL인젝션:사용자 입력값에 SQL 구문을 삽입을 하여 어플리케이션에서 DB로 지리를 하게 되는데 이때 정상적인 개발자가 의도한 정상적인 SQL 구문을 지리하는 것이 아니라 SQL 구문이 삽입이 됨으로써 공격자가 의도한 비정상적인 SQL 구문을 지리함
악의적인 행위:로그인 (ID/PW 없이도 로그인 가능 OR ID만으로 PW없이 인증하는 행위)
->커맨드 인젝션: 웹을 통해 시스템명령어(command)를 실행하는 공격
-> XPath 인젝션:사용자의 입력값을 제대로 검증 혹은 처리하지 않고 XPath 쿼리에 직접 삽입할 때 발생
XPath은 XML 문서에서 데이터를 추출하거나 조작하기 위해 사용되는 언어
->XXE인젝션: XML 파싱 과정에서 외부 엔터티(External Entity)를 로드하도록 의도적으로 조작함으로써 발생시킴
->XSS: 사용자의 입력값을 충분히 검증하지 않고 웹 페이지에 삽입할 때 발생/ 공격자는 악의적인 스크립트 코드를 사용자에게 노출되는 웹 페이지에 삽입함으로써 공격을 수행
->CSRF: 사용자가 의도하지 않은 요청을 악의적인 웹 사이트나 이메일을 통해 보내게끔 속이는 공격/XRSF라고도 혼용하여 불림
공격자는 해당 웹 서버를 경유하여 다른 서버들 침투할 것임 안쪽까지
;
3.웹 해킹 필수 도구,웹 프록시
#중개역할하는서버 !!
-웹 브라우저에서 웹프록시 서버에 전달/
- 웹 프록시 도구를 통해 요청,응답 메시지를 변조함
웹 브라우저 믿지 말고 웹 프록시의 요청에 의한 응답만을 믿을것
[웹 프록시 도구 종류]
1. 버프 스위트(Burp Suite) : 가장 많이 사용되는 웹 프록시로 다양한 확장 기능을 사용가능
2. 파로(Paros) : 간단한 인터페이스로 입문자 용으로 적합
3. 피들러(Fiddler): 개발자들이 많이 사용
4.ZAP:OWASP프로젝트에서 제공되는 웹프록시로 점차 사용자가 늘고있음
+버프스위트 설치
[무료] 웹 해킹과 모의해킹 현업에 대한 이야기 대시보드 - 인프런 | 강의 (inflearn.com)
해당강의 시청 후, 정리한 글입니다.