1장 인터넷과 웹의 이해
답 2 2 1 3 4 4 2
8. ARPANET
9. 인터넷 프로토콜은 컴퓨터 간의 서로 다른 방식을 연결하여 통신할 수 있도록 정한 공통의 규약이다.
많이 사용하는 프로토콜 중 하나인 HTTP는 문서간의 상호 연결을 통해 다양한 텍스트, 그래픽, 애니메이션을 화면에 보여주고 사운드를 재생해준다. TCP/IP도 많이 사용되는 프로토콜 중 하나이다.
10. ISOC
11. 팀 버나드 리
12. 웹 프록시는 우리가 사용하는 브라우저와 서버가 통신을 할 때 중간에 위치하여 브라우저(클라이언트)가 요청해서 받은 데이터를 서버로 재 전송하는 역할을 한다. 프록시를 이용하면 클라이언트와 서버가 교환하는 패킷을 중간에서 살펴볼 수 있다.
13. GET 방식은 요청 데이터에 대한 인수를 URL을 통해 웹 브라우저로 전송하여, 링크 주소를 알면 연결된 페이지의 내용을 확인할 수 있다. POST 방식은 URL에 요청 데이터를 전달하지 않고, HTTP의 보디 영역에 소켓을 이용하여 데이터를 전송한다. 따라서 링크를 통해 해당 페이지를 볼 수 없고, 인자값이 URL에 노출되지 않아 보안 측면에서 GET보다 안전한 편이다.
14. 서버 측 기능인 DBMS, 웹 서버, 서버 측 스크립트 언어가 있고, 클라이언트에게 정보를 제공하는 클라이언트 측 기능인 자바 스크립트와 HTML이 있다.
1. 인터넷의 탄생 (1번)
- 1969년 10월 29일, ARPANET을 통해 레너드 클라인록 교수가 UCLA의 컴퓨터에서 SRI 연구소의 컴퓨터로 메시지를 전송하는데 성공한 것이 최초의 2노드 간 상호 연결이다.
2. 프로토콜 (2번) : 컴퓨터 간에 정보를 원활하게 교환하기 위해 정한 통신 규칙과 방법에 대한 약속 또는 규약
- 프로토콜에 대한 상세한 내용은 RFC에 기술되어 있다. RFC는 국제인터넷표준화기구(IETF)에서 만드는 것으로, 인터넷에서 기술을 구현하는 데 필요한 상세 절차와 기본 틀을 제공하는 기술 관련 문서이다.
- 프로토콜의 요소
구문(Syntax) : 데이터의 형식, 신호로, 부호화 방법을 정의
의미(Semantics) : 정확한 정보 전송을 위한 전송 제어와 오류 제어 방법을 정의
순서(Timing) : 송신자와 수신자 간 혹은 양단의 통신 시스템, 망 사이의 통신 속도 및 순서 정의
3. 인터넷 거버넌스 (3,4번)
- 국제인터넷주소관리기구(ICANN) : 인터넷의 기술적인 문제 관리. DNS와 IP 주소, 프로토콜 번호와 매개변수 배정 등을 관리하며 DNS 루트 네임 서버 시스템의 개선 및 운영 담당.
IANA(인터넷할당번호관리기관) : 인터넷 초기, 인터넷 주소 할당을 위해 설립. ISOC(인터넷소사이어티)의 산하 기관으로, DNS Root Zone을 관리.
- 인터넷소사이어티 (ISOC) : 인터넷의 이용과 기술에 관한 국제적인 협조와 협력을 촉진하기 위해 1992년 설립된 비영리 국제 기구. IETF, IESG, IAB 지원
IETF(국제인터넷표준화기구) : RFC를 공식적으로 관리, 배포. 인터넷의 운영, 관리, 개발에 대해 협의. 프로토콜과 구조적인 사안 분석.
IESG(인터넷기술관리그룹) : IAB의 하부 조직. 인터넷의 기술적인 문제 해결 목적으로 설립.
IAB(인터넷아키텍처위원회) : ISOC의 감독 단체. 인터넷의 방침이나 장기적인 기획 및 기술 정책 등을 심의하고 결정.
- 월드와이드웹 컨소시엄 (W3C) : 웹, 웹 브라우저, 웹 서버 기술의 표준화를 추진하기 위해 교육/연구 기관 및 관련 회사들이 모여 설립.
- 국제전기통신연합(ITU) : 1865 설립, 1947년 부터 UN 산하 기관으로 활동. 관세 문제, 정보통신 네트워크에 대한 기술적인 표준과 운영 표준 발행. IETF보다 전문적, 상업적. 국가 정치에 영향을 줄 정도로 파급력이 크다.
4. 웹 (9번)
5. HTTP의 기본 개념 (5,6번)
-Request : http 전송 방법, 요청된 url, http 버전
GET : 요청 데이터에 대한 인수를 URL을 통해 웹 브라우저로 전송
HEAD
POST
OPTIONS
PUT
DELETE
TRACE
CONNECDT
-Response : 프로토콜 버전, http 상태코드, 전달할 데이터의 형식, 데이터 길이
100번 대 : 정보 전송
200번 대 : 성공
300번 대 : 리다이렉션
400번 대 : 클라이언트 측 에러
500번 대 : 서버 측 에러
-http 1.0 : html 문서를 전송 받은 후 연결을 끊고 다시 연결하여 그림 전송
-http 1.1 : html 문서를 받은 후 바로 그림 파일 요청
-http 2.0 : 멀티플렉싱 추가 (1개의 TCP연결을 통해 자료를 받음)
6. 웹 애플리케이션 기술 (7번)
-서버 측 기능
서버 측 스크립트 언어 : 클라이언트가 요청한 데이터를 서버 측에서 처리하여 원하는 결과를 돌려주기 위해 사용. (ASP, JSP, Node.js)
웹 서버 : Nginx, 아파치, IIS
데이터베이스 : 데이터베이스 관리시스템(DBMS)은 응용 프로그램이 데이터베이스를 효과적으로 이용할 수 있게 도와주는 매개체. 데이터베이스를 만들고 데이터를 입력/변경/검색할 수 있다. (Microsoft SQL 서버, 오라클 데이터베이스, MySQL, IBM DB2)
-클라이언트 측 기능 : 결과를 사용자에게 전달하기 위해 제공하는 인터페이스.
HTML
자바스크립트 : 객체 기반의 스크립트 프로그래밍 언어.
2장 웹 해킹의 기초
답 : 4 3 2
4. robots.txt 파일은 User-agent와 Disallow로 구성된다.
5. 5위였던 '잘못된 접근 통제'가 1위로 이동했다.
3위였던 '민감한 데이터 노출'이 '암호화 오류'로 변경되어 2위로 이동,
1위였던 '인젝션'이 3위로 이동했다.
'안전하지 않은 설계'가 4위로 새롭게 추가되었고,
4위였던 'XML 외부 개체 위험'을 포함한 '보안 설정 오류'가 5위가 되었다.
'알려진 취약점을 이용한 컴포넌트 사용'이 '취약하거나 오래된 컴포넌트 사용'으로 변경되어 9위에서 6위로 변경되었다.
2위 였던 '잘못된 인증'이 '식별 및 인증 실패'로 7위,
8위 였던 '안전하지 않은 역직렬화'를 포함하는 '소프트웨어와 데이터 무결성 실패'가 새롭게 등장하여 8위에 올랐다.
'충분하지 않은 로깅 및 모니터링'이 '보안 로그 및 모니터링 실패'로 10위에서 9위로 이동했다.
'서버 사이트 요청 변조'가 새롭게 10위로 추가되었다.
6. OWASP Top 10 2021년 버전의 상위 3개 위험은 잘못된 접근 통제, 암호화 오류, 인젝션이다.
1. 해킹 기술의 진화
2. 일반적인 웹 해킹 과정
3. 엡 애플리케이션의 취약점
3장 인증 기술과 접근 통제
답 : 3 4 1
4. 인증의 취약점을 공격하는 대표적인 사례는 취약한 패스워드 설정을 이용하는 것이다. 단순한 조합의 패스워드는 쉽게 크랙된다.
패스워드 찾기의 질문 항목이 단순한 웹 애플리케이션의 경우, 몇 번의 추측 공격으로 다른 사용자의 패스워드를 얻을 수 있다.
5. 비즈니스 로직 접근 통제는 사용자 권한에 종속되지 않고 민감하거나 중요한 자원에 대한 접근 통제를 의미한다.일반 사용자가 관리자 권한을 전부 획득하지 못했더라고 관리자만 접근할 수 있는 메뉴에 접근하는 경우이다.
1. 인증 기술
2. 접근 통제
수정할 부분이 있다면 댓글로 알려주세요.
공부하면서 참고한 글들 입니다.
https://namu.wiki/w/Request%20for%20Comments
Request for Comments
RFC(Request For Comments) 문서. 초기 1969년 미국 국방부 산하의 고등 연구국(ARPA)에서
namu.wiki
https://blog.naver.com/PostView.naver?blogId=forevertose&logNo=220761824178
RFC(request for comments) 상태 설명
Not all RFCs are standards.[12] Each RFC is assigned a designation with regard to statu...
blog.naver.com
https://massive.io/ko/file-transfer/what-is-transmission-control-protocol-tcp/
TCP란 무엇인가요? - MASV
TCP(전송 제어 프로토콜)는 본질적으로 현대 인터넷의 중추입니다. 이 글에서는 이 프로토콜에 대해 자세히 설명합니다.
massive.io
https://ko.wikipedia.org/wiki/%EC%9B%B9_%EC%84%9C%EB%B2%84
웹 서버 - 위키백과, 우리 모두의 백과사전
위키백과, 우리 모두의 백과사전. 세계 최초의 웹 서버 웹 서버(Web server)는 다음의 두 가지 뜻 가운데 하나이다. 웹 서버: 웹 브라우저와 같은 클라이언트로부터 HTTP 요청을 받아들이고, HTML 문서
ko.wikipedia.org
https://namu.wiki/w/%EB%B2%84%ED%8D%BC%20%EC%98%A4%EB%B2%84%ED%94%8C%EB%A1%9C
버퍼 오버플로
Buffer Overflow 버그 의 일종. 또는 이를 이용한 공격 방법. 프로그램 이 실행될 때 입력받는 값이
namu.wiki
https://goldsony.tistory.com/220
[웹 서버 보안]디렉토리 리스팅(Directory Listing) 취약점 조치하기
#220 1. 디렉토리 리스팅(Directory Listing)이란? 웹 서버의 특정경로에 있는 파일들을 웹 서비스를 통해 디렉토리 형식으로 볼 수 있는 것을 말합니다. 아래처럼 실제 파일을 열어볼 수도 있고 다운로
goldsony.tistory.com
https://m.blog.naver.com/loveandpic/222074927288
웹 프록시란 무엇인가.
웹 프록시란 무엇인가. 클라이언트와 서버간의 응답, 요청을 하게 되는데 중계 역할을 하는 서버를 말한다....
blog.naver.com
https://aws-hyoh.tistory.com/57
TCP/IP 쉽게 이해하기
IT 분야에서 실무를 담당하시는 분들뿐만 아니라 학생, IT 쪽에 조금이라도 관심이 있는 분들이라면 TCP/IP에 대해 들어보셨을 겁니다. 저 또한 학부시절에 TCP/IP에 대해서 여러 번 들어보았는데요.
aws-hyoh.tistory.com
https://blog.naver.com/ndb796/221041977032
웹 취약점 분석 환경 구축하기 (Proxy, Burp Suite)
※ 이 카테고리에서 다루는 내용을 불법적인 목적으로 활용하시면 안 됩니다. 이 카테고리에서는 가...
blog.naver.com