1. 웹 보안

보안의 3요소

Credibility (기밀성)

• 유출되지 않아야 한다, 프라이버시
• 특정 데이터가 허가받지 않거나 인증되지 않은 사용자에게 노출되지 않게 하는 것
• 기밀성 해치는 공격: 도청, 사회공학, 스니핑, 스누핑, Traffic Analysis
• 기밀성 보존 방법: Identification(식별), 인증, 권한부여, 암호화 등

Integrity (무결성)

• 정보가 변질되지 않아야 한다.
• 데이터가 악의적인 사용자에 의해 파괴되거나, 변하면 안 된다.
• 무결성 해치는 공격: 위조(Forgery), 부인(Repudiation)
• 무결성 보존 방법: 접근제어, 매시지(데이터) 인증 등

Availability (가용성)

• 인증받은 사용자는 시스템이나 데이터를 사용할 수 있어야 한다.
• 가용성을 해치는 공격: 서비스거부공격(DoS, Denial of Service), 분산서비스거부공격(DDoS, Distributed DoS)
• 가용성 보존 방법: 백업 솔루션 사용, 침입 탐지 시스템 운용 등

Authentication (인증)

• 정보가 사실이고, 검증되고, 신뢰할 수 있어야 한다.
• 1) 전송 과정 2) 메시지 3) 메시지 전송자 모두가 검증되어야 한다.
• 인증성을 해치는 공격: 메시지 변조, 중간자 공격(Man in the Middle Attack)
• 인증성 보존 방법: 메시지 인증, 전자 서명(Digital Signature)

Accountability (책임추적성)

• 사용자의 모든 행동에 대한 로그를 남겨서, 나중에 공격이 일어나거나 에러가 발생했을 때, 분석해서 원인을 찾을 수 있어야 한다.
• 책임추적성을 해치는 공격: 직무 유기, 권한 남·오용 등
• 책임추적성 보존 방법: 시스템 로그 관리, 포렌식 분석 등

---

1. 웹 기초

웹이란?

웹 (Web, World Wide Web)

• 인터넷을 기반으로, HTTP를 이용하여 정보를 공유하는 서비스
• 인터넷에 연결된 컴퓨터들이 하이퍼텍스트 형식으로 표현된 다양한 정보를 효과적으로 이용할 수 있도록 구성한 전 세계적인 시스템
• 웹 서버(Web Server)와 웹 클라이언트(Web Client)로 구성
  • 웹 서버: 웹 서비스에서 정보를 제공하는 주체
  • 웹 클라이언트: 웹 서비스에서 정보를 제공받는 이용자

---

<웹 동작 원리와 구조>

---

웹 리소스

웹에 갖춰진 정보 자산

ex) HTML(Hyper Text Markup Language), CSS(Cascading Style Sheets), JavaScript

---

HTTP와 HTTPS

<HTTP (HyperText Transfer Protocol)>

• 서버와 클라이언트의 데이터 교환을 요청(Request)과 응답(Response) 형식으로 정의한 프로토콜
• 클라이언트가 서버에게 요청하면, 서버가 클라이언트에게 응답
• 문서 간의 상호 연결을 통해 텍스트 및 미디어 제공

<HTTP 메시지>

• HTTP 헤드
  
  • 첫 줄은 시작 줄(Start line), 나머지는 헤더(Header)
  • 필드와 값으로 구성
  • HTTP 메시지 또는 바디의 속성 표현
• HTTP 바디
  • 헤드가 끝난 뒤의 모든 줄의 내용
  • 클라이언트나 서버에 전송하는 데이터 저장

<HTTP 요청(Request)>

• 서버에 특정 동작을 요구하는 메시지
• HTTP 요청의 시작 줄은 메소드(Method), 요청 URL, HTTP 버전으로 구성

 

<HTTP 응답(Reaponse)>

• HTTP 요청에 대한 결과를 반환하는 메시지
• 요청에 대한 상태 정보와 클라이언트에게 전송할 리소스가 포함
• HTTP 응답의 시작 줄은 HTTP 버전, 상태 코드(Status Code), 처리 사유로 구성

---

<HTTPS (HTTPS over Secure socket layer)>

• TLS를 이용하여 HTTP의 취약점을 보완한 프로토콜
• HTTP 요청과 응답은 평문으로 이루어지기 때문에 탈취되었을 때 정보 유출 가능
  • Burp Suite로 패킷을 확인 → ID, Passowrd 등이 유출될 수 있음
• 웹 서버의 url이 https://로 시작 → HTTPS 프로토콜 사용

 

<TLS를 이용한 HTTP 취약점 보완>

TLS, Transport Layer Security

• 전송 계층에서 동작, client와 server 사이에 안전한 커뮤니케이션 패널 제공
• 서버와 클라이언트 사이에 오가는 모든 HTTP 메시지 암호화
• TLS는 모든 HTTP 메시지 암호화 → 패킷 탈취 시 그 내용을 알아낼 수 없다.

---

2. 쿠키 & 세션

쿠키 & 세션

<HTTP의 특징>

• Connectionless
  • 하나의 요청에 하나의 응답을 한 후 연결 종료.
  • 요청마다 새로 연결
• Stateless
  
  • 통신이 끝난 후 상태 정보를 저장하지 않음

▶ HTTP: Request를 보내고 나면 정보를 남기지 않겠다.

---

<쿠키 & 세션>

• 웹 서버는 수많은 클라이언트와 HTTP 프로토콜을 사용해 통신한다.
• 로그인하는 사용자에 따라 다른 서비스(페이지)를 제공해야 한다.
• 웹 서버: 클라이언트 구별 및 서로 다른 결과를 반환해야 한다.
  • 클라이언트의 IP 주소과 User-Agent 속성은 변경 가능한 고유하지 않은 정보 → 웹 서버는 클라이언트 기억 불가
• 상태 유지를 위해 클라이언트 인증 정보를 포함하고 있는 쿠키(Cookie)와 세션(Session) 사용

---

<쿠키 (Cookie)>

• 인증 상태를 나타내는 민감한 정보 보관
• 브라우저 내부에 저장
• 브라우저는 웹 서비스에 접속할 때 자동으로 쿠키를 헤더에 포함시켜 요청 전송
• 쿠키: 키(Key) : 값(Value)으로 이루어진 일종의 단위
• 첫 Request 시 쿠키 발급, 이후 서버에 요청을 보낼 때마다 쿠키를 같이 전송
• 서버는 클라이언트 요청에 포함된 쿠키 확인으로 클라이언트 구분 가능
• 쿠키의 목적: 클라이언트 정보 기록 및 상태 정보 표현

<쿠키 (Cookie) 변조>

• 쿠키: 클라이언트 브라우저에 저장, 요청에 포함되는 정보
• 악의적인 클라이언트는 쿠키 정보 변조 후 서버에 요청 보내기 가능
• 만약, 서버가 검증 없이 쿠키를 통해 인증 정보 식별 시 타 이용자 사칭으로 정보 탈취 가능

---

<세션 (Session)>

• 인증 정보를 서버에 저장
• 해당 데이터에 접근할 수 있는 키를 만들어 클라이언트에게 전달
• 키: 일반적으로 SessionID
• 브라우저: SessionID를 쿠키에 저장 → HTTP 요청 보낼 때 해당 키 값 사용
• 서버: 요청에 포함된 키에 해당하는 데이터를 가져와 인증 상태 확인

---

SOP & CORS

<동일 출처 정책 (Same Origin Policy(SOP))>

• 사용자가 악의적인 페이지 접속
  • 페이지가 JS를 이용해 이용자의 SNS 웹서비스로 요청 전송
  • 브라우저는 요청을 보낼 때 해당 웹 서비스의 쿠키를 포함
  • JS로 요청을 보낸 페이지는 로그인된 이용자의 SNS 응답을 받을 것
  • 마음대로 페이지 접속자의 SNS에 글을 올리거나 삭제, 메신저 읽기 가능
  • → 이와 같은 문제 방지 위해서 SOP 등장
• 같은 출처(Origin)의 서버로만 요청을 주고받을 수 있다
• Sheme, Host, Port 모두 동일해야 함

---

<Cross Origin Resource Sharing (CORS)>

• 다른 출처의 데이터를 가져와야 하는 경우 때문에 교차 출처 리소스 공유 (Cross Origin Resource Sharing) 등장
• Cross Origin 간에 리소스를 공유하는 방법
  • HTTP 헤더
  • JSON

 

3. 공격

서버 사이드 (Server-Side)

• 서버 (제공자) 측에서 즉시 처리
• 클라이언트의 요청을 처리, 처리 결과를 브라우저에 보내고 응답하는 역할
• 웹 서버에서 하는 작업
• 클라이언트로 보낼 웹 페이지 제작
• 서버 사이드 공격
  • 서버 사이드 취약점을 통해 서버 내에 존재하는 사용자들의 정보를 탈취하거나, 서버의 권한을 장악

클라이언트 사이드 (Client-Side)

• 클라이언트 (사용자) 측에서 처리
• 서비스를 요청하는 역할 (ex. 웹 페이지 요청)
• 웹에서의 클라이언트 = 웹 브라우저
• 클라이언트 사이드 공격
  • 클라이언트 사이드 취약점을 통해 이용자를 식별하기 위한 세션 및 쿠키 정보를 탈취하고 해당 계정으로 임의의 기능 수행

공격 유형

클라이언트 사이드 (Client-Side)	서버 사이드 (Server-Side)
Brute Force, Dictionary Attack Cross-Site Scripting (XSS) CSRF	Injection (SQL Injection, Command Injection 등) File Vulnerability (File Inclusion, File Upload 등)

 

Brute Force

• 무차별 대입 공격, 특정 암호를 풀기 위해 가능한 모든 값을 대입
• 대부분의 암호화 방식은 이론적으로 무차별 대입 공격에 안전하지 못하며, 충분한 시간이 존재한다면 암호화된 정보를 해독 가능

Dictionary Attack

• 사전에 있는 단어를 알아내거나 해독하는 컴퓨터 공격법
• 사전에 있는 단어를 순차적으로 입력
• 비밀번호가 apple123이라면 dictionary에서 apple123을 찾음
  • 일반적으로 brute force보다 빠르지만, erjelrj124 같은 비밀번호를 쓴다면 효과적이지 X

XSS

• 자바스크립트와 같은 스크립트 코드를 이용해 취약한 웹 애플리케이션을 통해 클라이언트 쪽의 웹 브라우저를 공격하는 기법

CSRF

• CSRF(Cross site Request Forgery): 사이트 간 요청 위조
• 피싱을 활용해 사용자 모르게 패스워드를 변경할 때 주로 사용
• 사용자가 피싱 링크를 클릭하는 시점에 해커가 원하는 사이트에 로그인되어있어야 성공 → 로그인되어있는 상태여야 세션 쿠키가 자동으로 포함

---

SQL Injection

• 데이터 베이스에 전송되는 SQL 쿼리문을 조작하여, 데이터를 변조하거나 허가되지 않은 정보에 접근할 수 있는 공격
• 예전부터 최근까지 꾸준하게 사용되는 웹 공격

Command Injection

• OS에서 사용하는 명령어 (OS command)를 사용할 때 사용자의 입력값을 검증하지 않는다면 특수 문자를 이용해 사용자가 원하는 명령어를 함께 실행 가능
• 쉘 명령에 여러 가지 charcter(; | & 등)를 이용해 개발자가 의도하지 않은 명령어를 해커가 임의로 실행하게 하는 공격

File Inclusion

• PHP에서 include() 함수를 이용하여 지정한 파일을 직접 소스코드에 삽입하기 때문에 발생하는 공격 유형
• LFI(Local File Includion): 이미 시스템에 존재하는 파일을 include
• RFIL(Remote File Inclusion): 외부에 있는 파일을 원격으로 include, LFI보다 더 강력한 공격

File Upload

• 파일을 업로드할 수 있는 공간이 있다면 시도 가능
• 파일이 업로드되는 페이지(게시판, SNS 등)에 악성 파일(웹쉘)을 업로드
• 공격 과정
  1. 이미지 업로드하는 곳이 존재
  2. 해커가 이미지 대신 웹셀을 업로드
  3. 이미지 파일인지 제대로 검사하지 않으면 웹쉘이 저장
  4. 해커가 웹쉘에 접근하게 되면 웹쉘이 실행

---

코드 읽는 법 (Python Flask)

파이썬 Flask

: 웹 애플리케이션 개발을 위한 파이썬 프레임워크

 

Route 기능

: 웹 브라우저에서 접근 시, 입력하는 주소에 따라 특정 함수가 실행되게 함

 

코드 읽는 법 (python Flask)

 

GET, POST 메소드

: 사용자에게 데이터 전송받는 방식

• GET: 데이터를 URL에 포함해 요청
• POST: URL에 포함하지 않고 HTTP 헤더 본문에서 요청

request.args.get()
: GET 요청일 경우 데이터 받아오기

request.from.get()
: POST 요청일 경우 데이터 가져오기

 

필터링

: XSS, CSRF, Injection 등의 공격 방지를 위해 키워드를 필터링하는 경우 많음

---

•김종길 교수님 웹 보안 및 실습 강의자료

•화이트 해커가 되기 위한 8가지 웹 해킹 기술

•https://oggwa.tistory.com/category/IT?page=1

•https://blog.naver.com/aosh8974/222973024565

•https://blog.naver.com/sk_shieldus/222902533919

https://sangwoo0727.github.io/web/Web-2.webApp/