반응형 정보보안/모의해킹6 [웹 해킹] 웹 해킹 (5)- 웹 기초 [쿠키 / 세션 / 세션 하이재킹 ] [쿠키(Cookie) 🍪] ♣ HTTP 프로토콜의 특징> Connectionless : 하나의 요청에 하나의 응답을 한 후 연결을 종료하는 것을 의미한다. 특정 요청에 대한 연결은 이후의 요청과 이어지지 않고 새로운 요청이 있을 때마다 항상 새로운 연결을 맺는다.> Stateless : 통신이 끝난 후 상태 정보를 저장하지 않는 것을 의미한다. 이전 연결에서 사용한 데이터를 다른 연결에서 요구할 수 없다.♣ 클라이언트의 IP 주소와 User-Agent는 매 번 변경될 수 있는 정보이면서, HTTP 프로토콜의 'Connectionless'와 'Stateless' 특징 때문에 웹 서버는 클라이언트를 기억할 수 없다. ♣ 이와 같이 Connectionless, Stateless 특성을 갖는 HTTP에서, 상.. 2025. 1. 21. [웹 해킹] 웹 해킹 (4)- 웹 기초 [개발자도구] [개발자 도구]♣ 크롬의 개발자 도구를 실행하려면 브라우저를 열어 [F12]를 누른다. 그러면 개발자 도구 창이 브라우저에 나타나게 된다. ♣ 아래의 그림은 요소 검사(Inspect) 및 디바이스 툴바(Device Toolbar) 버튼이다. ♣ 요소 검사(Inspect)를 누르고 웹 페이지의 원하는 요소에 마우스를 올리면 대상의 정보가 출력된다. 그 상태에서 클릭하면 이와 관련된 HTML 코드가 하이라이팅된다. ♣ 디바이스 툴바(Device Toolbar)를 활용하면 현재 브라우저의 화면 비율 및 User-Agent를 원하는 값으로 변경할 수 있다.웹에 접속하는 장치가 다양하기 때문에 웹 페이지가 렌더링되어야 할 화면의 비율도 그만큼 다양한다. 개발자는 모든 이용자에게 좋은 웹 경험을 제공해야하므로, 개.. 2025. 1. 17. [웹 해킹] 웹 해킹 (3)- 웹 기초 [브라우저 / Domain Name / URL / 웹 렌더링] [웹 브라우저]♣ 웹 브라우저는 웹상에 존재하는 페이지들의 HTML 언어를 해석하여 사용자의 컴퓨터 화면에 출력해주는 프로그램으로, 이용자는 브라우저를 이용하여 쉽게 정보를 검색하고, 동영상 시청 및 파일 다운로드 등을 쉽게 할 수 있다. ♣ 이용자가 주소창에 URL을 입력하면 웹 브라우저는 다음과 같은 동작을 하게 된다.1웹 브라우저 주소창에 입력된 주소를 해석(URL 분석)2입력된 주소를 탐색(DNS 요청)3HTTP를 통해 입력된 주소로 요청 메시지 전송4입력된 주소로부터 HTTP 응답 수신5리소스 다운로드 및 웹 렌더링(HTML, CSS, Jvavscript)입력된 주소 즉, URL을 말하며 'http://google.com'과 같은 주소를 의미한다.♣ 최근에는 브라우저가 보안과 개발에 필요한 다양.. 2025. 1. 16. [웹 해킹] 웹 해킹 (2) - 웹 기초 [인코딩 / 프로토콜 / 네트워크 포트 / 서비스 포트 / HTTP / HTTPS / 요청 및 응답 [인코딩(Encoding)]♣ 인코딩(Encoding) : 데이터를 컴퓨터가 이해할 수 있는 바이너리 형식으로 변환하는 과정을 말한다. 인코딩 표준에는 대표적으로 아스키(ASCII)와 유니코드(Unicode)가 있다. ♣ 아스키(ASCII) : 7비트 데이터에 대한 인코딩 표준이다. 이를 이용해 알파벳과 특수 문자 등을 표현할 수 있다. 예를 들어, '1000001'은 'A'로 해석된다. ♣ 컴퓨터 개발 초기, 영어는 아스키, 한글은 CP-949, EUC-KR 등 각 문자권마다 고유의 인코딩 표준을 사용했다. 그런데 이런 방식은 다른 나라 문자를 사용할 때, 글자가 깨지거나 다른 문자가 출력되는 등 인코딩이 호환되지 않아 문제가 발생하였다. 그렇게 해서 만들어진 표준이 유니코드(Unicode)이다.. 2025. 1. 16. [웹 해킹] 웹 해킹 (1) - 웹 기초 [웹 / 프론트엔드 / 백엔드 / 웹 리소스 / HTML / CSS / JS / 웹 통신 ] [웹(WEB)]♣ 웹(Web) : 인터넷을 기반으로 구현된 서비스 중 HTTP를 이용하여 정보를 공유하는 서비스이다. ♣ 정보를 제공하는 주체를 웹 서버(Web Server), 정보를 받는 이용자를 웹 클라이언트(Web Client)라고 한다. ♣ 웹 서비스는 저장된 내용을 출력해 이용자에게 제공하는 간단한 서비스에서 다양한 기능을 수행하는 형태로 발전되어 왔다. 이전의 웹 서비스는 이용자가 요청하는 정보를 제공하기만 하는 수동적인 형태의 서비스였다면, 현재는 이용자의 요청을 해석하고 가공하여 필요한 정보와 기능을 제공하는 능동형 서비스에 가깝다.[프론트엔드와 백엔드]♣ 이용자의 요청을 받는 부분을 프론트엔드(Front-end), 요청을 처리하는 부분을 백엔드(Back-end)라고 부른다. ♣ 프론트엔.. 2025. 1. 15. [웹 해킹] Burp Suite의 기능 [Burp Suite 설정 및 사용 방법 바로가기] 더보기https://yongodong.tistory.com/entry/Kali-Linux-Burp-Suite-%EC%82%AC%EC%9A%A9%EB%B2%95 [Kali Linux] Burp Suite 기본 설정[Burp Suite]- 칼리 리눅스에서 기본적으로 제공되는 침투 테스트 및 취약점 진단 도구로, 웹 애플리케이션 보안을 확인하는 데 사용된다.- 브라우저와 서버가 HTTP/S 트래픽을 가로채고 수정하기 위yongodong.tistory.com실제 서비스되고 있는 웹 사이트에 침투하는 행위는 불법입니다.절대 어떠한 공격 행위도 수행하면 안된다는 것을 잊지 마세요![Burp Suite 실행] ♣ 칼리 리눅스에서 Burp Suite를 실행하고, [T.. 2024. 12. 21. 이전 1 다음 반응형
