SQL 인젝션 (Injection) SQL 인젝션이란 웹 사이트의 보안 취약점을 이용하여 특정 SQL 쿼리문을 삽입하여 공격자에게 필요한 DB 정보를 추출하거나 인증 우회 등의 공격을 하는 해킹 기법이다. 주로 클라이언트의 입력 값에 대한 필터링 기능이 제대로 갖춰지지 않은 경우 발생한다. SQL 인젝션 공격은 쉬운 난이도에 비해 그 피해는 상당히 효과적인 공격이므로 주의해야 한다. SQL 인젝션의 공격이 성공하려면 우선적으로 갖춰야 할 조건이 존재한다. 웹 애플리케이션이 DB와 연동되어있어야 한다. 사용자가 입력한 입력 값이 SQL 구문의 일부로 사용되어야 한다. 공격 이름부터가 DB 언어인 SQL이기 때문에 DB와의 연동이 되어있어야 공격을 진행할 수 있으며 또한 SQL 구문에 사용자가 입력한 입력 ..

Burp Suite (버프 스위트) 버프 스위트는 프록시를 사용하여 클라이언트 측에서 서버 측으로 보내는 HTTP 요청을 가로채 분석 및 수정을 할 수 있는 웹 프록시 툴이다. 기본 기능 외에도 다양한 기능들이 존재하여 웹 애플리케이션의 취약점을 테스트하거나 모의해킹을 수행할 수 있도록 해주는 점검 도구로서의 역할도 가진다. 일반적으로 클라이언트-서버 구조의 데이터 전달 방식은 클라이언트에서 서버에게 요청하면 서버는 그에 해당하는 데이터를 응답해주는 방식이다. 그러나 여기에 프록시가 개입을 하게 되면 클라이언트가 서버로 데이터를 요청 시 프록시를 거쳐 보내게 되고 마찬가지로 서버가 클라이언트에게 데이터를 응답 시 프록시를 거쳐 보내게 된다. 이때 프록시는 중간전달자로서 요청 및 응답에 해당하는 데이터들을..

식별(Identification)과 인증(Authentication) 식별(Identification)과 인증(Authentication)은 보안 분야에서 중요한 개념이며 모두가 알고 있는 로그인 과정에서 수행되는 작업이다. 식별 (Identification) 식별은 사용자가 자신의 정보를 입력하여 시스템에게 자신이 누구인지를 알리는 작업이다. 로그인 과정에서 예를 들자면 사용자는 자신을 인식할 수 있는 아이디를 입력하고 시스템에서는 입력된 아이디를 DB에 저장되어 있는 데이터와 비교하여 사용자를 식별한다. 인증 (Authentication) 인증은 식별 작업이 완료된 후에 사용자가 입력한 정보(아이디, 비밀번호 등)가 실제로 사용자의 것인지를 확인하는 작업이다. 로그인 과정에서 예를 들자면 로그인 과정..

데이터베이스 (DataBase) 데이터베이스는 데이터를 저장하는 프로그램으로 주로 WAS와 같이 사용된다. WAS가 동적 페이지 처리를 위한 데이터를 요청하면 데이터베이스는 조건에 맞는 데이터를 WAS에게 제공한다. 데이터베이스 구조는 엑셀에 비유하여 간단히 설명가능하다. 데이터베이스(Database) = 엑셀 파일 테이블(Table) = 엑셀 시트 컬럼(Column) = 열, 세로 데이터, 속성 로우(Row) = 행, 가로 데이터, 튜플 웹 서버와 DB 웹 서버와 연결된 DB를 관리하는 방법은 2가지가 존재한다. 하나는 운영체제에서 관리를 하거나 또 하나는 웹에 존재하는 관리 페이지에 접속하여 편리하게 관리하는 방법이 존재한다. 웹 브라우저를 통해 DB 관리 페이지에 접속을 해보자. 웹 관리 페이지는 ..

Web Server 웹 서버는 클라이언트(사용자)가 웹 브라우저 주소창에 요구하는 웹 페이지에 대한 정보가 담긴 URL을 입력하여 요청하면 해당 요청에 따라 HTML 문서나 CSS 같은 정적인 콘텐츠를 클라이언트에게 제공하는 서비스 프로그램을 뜻한다. 웹 서버는 들어온 요청의 종류에 따라 역할이 달라진다. 정적인 요청 : HTML이나 CSS, 이미지와 같은 정적인 데이터들을 클라이언트에게 전달한다. 동적인 요청 : 클라이언트측에서 동적인 데이터를 요청했을 경우 웹 서버 자체적으로 처리하지 못하기에 WAS에게 요청을 넘긴다. WAS가 받은 요청에 대한 처리를 완료한 후 웹 서버에게 처리된 응답을 전달하면 웹 서버는 처리된 응답을 클라이언트에게 전달한다. WAS (Web Application Server) ..