[2020 하반기] 10/04 멘토링 2주차 웹해킹

안녕하세요. 멘토링 2주차를 실강 못해서 슬프네요. 

그래도 열심히 공부를 해볼까요?

 

이번 주에 주제는 '웹 해킹' 입니다. 

 

 

그럼 '웹의 개념' 부터 알아봐야겠죠.

 

웹을 해킹할려면 웹을 만든 사람보다 웹에 대한 이해도가 높아야 취약점을 잘 발견할 수 있기 때문에 웹에 대해 잘 공부행야겠죠? 

 

웹은 사실 WWW(World Wide Web)이지만 간단히 Web(웹) 이라고 줄여서 말합니다. 

이는 사전적으로 거미줄처럼 여러 컴퓨터가 연결되어 서로 정보를 공유한다는 의미에서 비롯 되었습니다.  

 

 

해킹이란 원래 프로그램에서 의도치 않은 행위를 발생시키는 거니깐 웹 해킹이란 웹에서 의도치 않은 행위를 발생시키는 거겠죠?

 

 

웹은 인터넷 상의 서비스 중 하나인 HTTP 를 사용해서 웹 서비스를 제공합니다. 

 

웹서비스를 제공받는 대상이 웹 클라이언트(Web Client)

웹 서비스를 제공하는 대상이 웹 서버(Web Server)

 

 

웹의 역사

- 1980년 3월 팀 버너스 리에 의해 연구가 시작되고 개발 

- 초창기 웹은 단순 정보 저장의 역할

- Web Browser, Web Server, HTTP,HTMP 등의 기술은 public domain 으로서 저작권 오픈 -> 폭발적인 사용과 발전  

 

 

(웹 동작 사진)

 

 

• Web Browser(웹 브라우저) : 웹에 접속하기 위해 사용하는 소프트웨어
• Web Resource(웹 리소스) : 웹 상에 존재하는 모든 콘텐츠(HTML,CSS,JS,PDF,PNF 등)
• URI(URL) : Uniform Resource Identifier 의 약자로 리소스를 식별하기 위한 식별자
• HTTP(HyperText Treansfer Protocol) : 인터넷 서비스에서 서비스 대상 간 통신 규약(Protocol)을 지정하여 통신
• HTTPS(HyperText Treansfer Protocol Secure) : HTTP 가 안전하지 않아서 데이터를 암호화 하여 통신
• Cookie : 웹 브라우저에 저장하는 데이터
• Session : 서버에 저장하는 데이터
• Domain Name : 인터넷 네트워크 상에서 컴퓨터를 식별하는 이름 예를 들어 www.naver.com 은 네이버의 서버 컴퓨터를 식별하는 이름임)
• Server : 서버는 인터넷 상에서 사용자에게 서비스를 제공하는 컴퓨터, 웹 서버는 사용자인 웹브라우저와 HTTP를 이요해여 통신하는 서버
• Application : 서버에서 설정한 특정 기능들을 수행하는 소프트웨어
• DataBase(DB) : 데이터를 저장하기 위해 사용하는 데이터 저장소 

 

써니 나타스 1번 풀기 

 

-참고 : asp 파일에 대해 

hackersstudy.tistory.com/32

ASP 란 ?

 

써니나타스 2번 문제

-> 페이지소스에 자바스크립트 코드를 통해 로그인 방식이 유출되면 굉장히 위험함. 콘솔을 통해 명령어 실행가능.

 

 

써니나타스 3번 문제

-> 개발을 할때 URL 에 정보를 사용할 수 있는게 얼마나 위험한지 알게 해주는 문제

 

써니나타스 4번 문제

->User-Agent : Browser와 운영체제에 대한 정보를 웹사이트에 알려주는 용도 (사용자 에이전트)

써니나타스 5번 문제

-> 자바스크립트 난독화 : 클라이언트 사이드에서 실행되는 자바스크립트는 보안상 취약할 수 밖에 없다. 그러므로 생긴 게 '자바스크립트 난독화'. 이는 자바스크립트를 실행하는데는 문제가 없지만 알아보기에는 힘들게 난독화를 해놓은 것이다. 

 

www.strictly-software.com/unpacker#unpacker

Unpack Javascript - Strictly Software

난독화 unpacking 사이트