WEEK3 - WEB HACKING

1. WEB HACKING

웹 해킹이란?

: 웹 서비스 상에서 발생될 수 있는 모든 보안상의 취약점을 이용한 악의적인 행위

 

웹?

: 인터넷을 기반으로 구현된 서비스 중 HTTP를 이용하여 정보를 공유하는 서비스

HTTP?

: HyperText Transfer Protocol. 웹 상에서 서로 통신을 하기 위해 정해둔 일종의 규칙

웹 서비스의 진화

: 단순 정보 전달 → 금융, 쇼핑, 협업 등 일상의 많은 부분을 맡음

---

2. 개발자 도구

브라우저 개발자 도구

웹 개발을 위한 도구

• HTML과 CSS 코드를 브라우저에서 수정하고 바로 결과 확인
• 자바스크립트 코드 디버거 제공
• 서버와 오가는 HTTP 패킷을 상세히 보여주므로 프로토콜 상에서 발생하는 문제도 쉽게 발견 가능

→ 웹 서비스를 진단하는 데 도움이 되는 도구인 만큼, 웹 취약점을 이용하려는 공격자에게도 유용하게 사용될 수 있다!

• Elements: 페이지를 구성하는 HTML 검사
• Console: 자바 스크립트를 실행하고 결과를 확인할 수 있음
• Sources: HTML, CSS, JS 등 페이지를 구성하는 리소스를 확인하고 디버깅할 수 있음
• Network: 서버와 오가는 데이터를 확인할 수 있음
• Application: 쿠키를 포함하여 웹 애플리케이션과 관련된 데이터를 확인할 수 있음

---

3. SQL INJECTION

SQL 인젝션이란?

• DBMS에서 사용하는 질의 구문인 SQL을 삽입하는 공격
  • DBMS: DataBase Management System
• SQL 인젝션 기법
  • Terminating Query 방식
  • In-line Query 방식

---

정상 로그인

TERMINATING QUERY

: 특정 작업이나 트랜잭션의 마지막을 의미하는 쿼리

IN-LINE QUERY

: 한 쿼리 내에서 데이터를 검색하거나 조작하기 위해 중첩되거나 인라인으로 작성된 서브쿼리(Subquery)를 의미

ID를 알고 있는 경우

---

SQL 인젝션 주석 처리

• -- 주석
  • -- 뒤에 오는 내용은 모두 주석으로 처리되며 MySQL과 PostgreSQL 등 다양한 데이터베이스에서 지원
• # 주석
  • # 뒤의 내용은 MySQL에서 주석으로 처리되지만 다른 데이터베이스에서는 지원 X