๐ ์น ๊ฐ๋ฐ์ ์ํด ๊ผญ ์์์ผํ๋ ๋ณด์ ๊ณต๊ฒฉ
๋ณด์์ ์น ๊ฐ๋ฐ์์ ๊ต์ฅํ ์ค์ํ ๋ถ์ผ ์ค ํ๋์ง๋ง, ํ๋ก๊ทธ๋๋ฐ ๊ต์ก์ด๋ ๊ฐ์ธ ํฌํธํด๋ฆฌ์ค๋ก ํ๋ก์ ํธ๋ฅผ ์งํํ ๋ ํฌ๊ฒ ๋ค๋ฃจ์ง ์๋๊ฑธ ์ข ์ข ๋ณด๊ณค ํ์ต๋๋ค. ์๋ง๋ ์์ฆ ์ฌ์ฉํ๋ ํ๋ ์์ํฌ๋ ๋ผ์ด๋ธ๋ฌ๋ฆฌ์์ ๋๋ถ๋ถ์ ๋ณด์ ๊ณต๊ฒฉ์ด๋ ์ค์์ ๋ํด ๋ฐฉ์ดํ ์ ์๋๋ก ๊ตฌํ์ด ์ ๋์ด์๊ธฐ ๋๋ฌธ์ด๊ฒ ์ต๋๋ค๋ง ์น ๊ฐ๋ฐ์ ํน์ ์ํํธ์จ์ด ๊ฐ๋ฐ์๋ผ๋ฉด ๋ณด์ ์ ๋ฌธ๊ฐ ์์ค๊น์ง ์๋๋๋ผ๋ ๊ธฐ์ด์ ์ธ ๋ณด์ ๊ณต๊ฒฉ์ ๋ํ ์ดํด์ ์ด๋ฅผ ๋ฐฉ์ดํ ์ ์๋ ๋ฐฉ๋ฒ์ ์์๋ ์ผ๋ก์จ ํน์๋ ๋ฐ์ํ ์ ์๋ ์ค์๋ฅผ ์ฌ์ ์ ๋ง์ ์ ์์ด์ผ ํฉ๋๋ค. ์ค๋์ ์์๋๋ฉด ๋์ค์ ๋ฐ๋์ ๋์์ด ๋๋ ๋ณด์ ๊ณต๊ฒฉ์ ๋ํด ์ ์ ๋ฆฌ๋ ๊ธ์ด ์์ด ๊ณต์ ๋๋ฆฝ๋๋ค. ๊ธ์์ ์ธ๊ธ๋ ๋ํ์ ์ธ ๋ณด์ ๊ณต๊ฒฉ์ ์์ฝํ์๋ฉด ๋ค์๊ณผ ๊ฐ์ต๋๋ค. ๐ SQL Injection ์๋ฒ์์ ์คํ๋๋ SQL์ ์ ์์ ์ผ๋ก ์ด์ฉํ๋ ๊ณต๊ฒฉ์ ๋๋ค. ์ด๋ฆ์ฒ๋ผ ๊ธฐ์กด SQL์ ์ ์์ ์ธ SQL ๊ตฌ๋ฌธ์ ์ฝ์ ํ์ฌ ๋ฐ์ดํฐ ํ์ทจ, ์ญ์ ๋ฑ์ ํ ์ ์์ต๋๋ค. ๐ Cross-Site Scription (XSS) ์น ํ์ด์ง์ ์ ์ฑ ์๋ฐ์คํฌ๋ฆฝํธ๋ฅผ ์ฝ์ ํ๋ ๊ณต๊ฒฉ์ ๋๋ค. ์ต๊ทผ์ SPA(Single-Page Application)๋ก ๋ฐฐํฌ๋๋ ์๋น์ค๊ฐ ๋ง์๋ฐ, ์ด๋ ๊ฒ ๋ฐฐํฌ๋๋ ์๋น์ค ๋๋ถ๋ถ์ด ์ธ์ฆ ๊ด๋ฆฌ๋ฅผ ์ํด ํ ํฐ์ Cookie ํน์ localStorage ์ ์ ์ฅํฉ๋๋ค. ์ด๋ XSS ๋ฐฉ์ด ์ค๋น๊ฐ ๋์ด์์ง ์์ ๊ฒฝ์ฐ ์๋ฐ์คํฌ๋ฆฝํธ๋ฅผ ํตํด ๋ถํน์ ๋ค์์ ์ฌ์ฉ์ ํ ํฐ์ ์์ฝ๊ฒ ํ์ทจ ํ ์ ์์ต๋๋ค. ๐ CSRF Attack Cross-Site Request Forgery๋ผ๊ณ ๋ถ๋ฅธ๋ค. ๊ณต๊ฒฉ์๊ฐ ์๋น์ค ์ฌ์ฉ์๋ฅผ ์ด์ฉํ์ฌ ์์ฒญ์ ๋ณด๋ด๋ ๊ณต๊ฒฉ์ ๋งํฉ๋๋ค. ์๋ฅผ ๋ค์ด ๋ค์ด๋ฒ ๋ก๊ทธ์ธ๊ณผ ๋๊ฐ์ ํ๋ฉด์ ์ ๊ณตํ๋ ํผ์ฑ ์ฌ์ดํธ๋ฅผ ์ฌ์ฉ์๊ฐ ํผ์ฑ ์ฌ์ดํธ์ธ ๊ฒ์ ๋ชจ๋ฅด๊ณ ์์ด๋์ ๋น๋ฐ๋ฒํธ๋ฅผ ์ ๋ ฅํ๊ณ ๋ก๊ทธ์ธ ๋ฒํผ์ ๋๋ฅธ๋ค๋ฉด ํผ์ฑ ์ฌ์ดํธ๋ ์ง์ง ๋ค์ด๋ฒ ๋ก๊ทธ์ธ URL ์ ์์ฒญํ ์ ์๊ฒ ๋ฉ๋๋ค. ๋ง์ฝ CSRF ์ ๋ํ ๋ฐฉ์ด๊ฐ ์ ๋๋ก ์๋์ด ์๋ค๋ฉด ์ฑ๊ณต/์คํจ Response ๊ฐ ๋ด๋ ค์ฌ ๊ฒ์ด๊ณ ์ด๋ฅผ ํตํด ํด์ปค๋ ์ฑ๊ณตํ ๊ณ์ ์ ๋ณด๋ฅผ ํ๋จํ์ฌ ํ์ทจํ ์ ์์ต๋๋ค. ๐ Command Injection ์์ ์คํ์ํค๋ ๋ก์ง์ ์ด์ฉํ ๊ณต๊ฒฉ์ผ๋ก ์์คํ ๊ถํ์ด ํ์ทจ๋๋ ๊ฒ์ด๋ ๋ง์ฐฌ๊ฐ์ง๊ธฐ ๋๋ฌธ์ ๋งค์ฐ ์น๋ช ์ ์ ๋๋ค. ๊ฐ ์ธ์ด๋ง๋ค ์ ๋ช ๋ น์ ์คํํ ์ ์๋ API ๊ฐ ์กด์ฌํ๋๋ฐ ์ด๋ฌํ API ๋ฅผ ํด์ปค๊ฐ ํธ์ถํ ์ ์๊ฒ ๋ฐฉ์ด๊ฐ ์๋์ด์๋ค๋ฉด ์น๋ช ์ ์ธ ๊ฒฐ๊ณผ๋ฅผ ๋ถ๋ฌ์ฌ ์ ์๋ค. ๐ File Upload Attack ๊ณต๊ฒฉ ์คํฌ๋ฆฝํธ๊ฐ ๋ด๊ธด ํ์ผ์ ์๋ฒ๋ก ์ ๋ก๋ํ๋ ๊ณต๊ฒฉ์ ๋๋ค. WebShell ์ด ๊ฐ๋ฅํ ์ฝ๋๊ฐ ๋ด๊ธด ํ์ผ์ ์ ๋ก๋ํ๊ณ ํด์ปค๊ฐ URL์ ํตํด ์ ๊ทผ ๊ฐ๋ฅํด์ง๋ฉด Command Injection ๊ณผ ๊ฐ์ ํจ๊ณผ๋ฅผ ๋ณผ ์ ์์ต๋๋ค. ๐ JavaScript Injection ๋ธ๋ผ์ฐ์ ์์ ์๋ฐ์คํฌ๋ฆฝํธ๋ฅผ ์ฝ์ ์ํค๋ ๊ณต๊ฒฉ์ ๋๋ค. ๋ธ๋ผ์ฐ์ ์์ ์ ๊ณตํ๋ Console ์ ํตํด Javascript ์ฝ๋ ์กฐ์์ด ๊ฐ๋ฅํ๊ธฐ ๋๋ฌธ์ Client-Side ์ ๋ฏผ๊ฐํ ๋ฐ์ดํฐ๋ฅผ ๋ฃ์ด๋จ๋ค๋ฉด ํด๋น ๊ณต๊ฒฉ์ ํตํด ํ์ทจ๊ฐ ๊ฐ๋ฅํฉ๋๋ค. ๐ DDoS ๊ฝค ์ ๋ช ํ ๋ณด์ ๊ณต๊ฒฉ์ค ํ๋์ ๋๋ค. Distributed Denial of Service ๋ผ๊ณ ๋ถ๋ฅด๋๋ฐ, ์ง์ญํ๋ฉด ๋ถ์ฐ ์๋น์ค ๊ฑฐ๋ถ ๊ณต๊ฒฉ์ด๋ผ๊ณ ํ ์ ์์ต๋๋ค. ์ด๋ฆ์ฒ๋ผ ๋ถ์ฐ๋ ์์คํ ์ ์ด์ฉํ์ฌ ์๋ฒ์ ๋น์ ์์ ์ผ๋ก ๋ง์ ํธ๋ํฝ์ ๋ณด๋ด ๋ง๋น์ํค๋ ๊ณต๊ฒฉ์ ๋๋ค. ๊ณต๊ฒฉ์๋ ์ ๋ง์ PC ๋ฅผ ์ด์ฉํ์ฌ ์๋ฒ์ ํธ๋ํฝ์ ๋ณด๋ด๋๋ฐ ๋ชฐ๋ ์ฌ์ด ๋์ ์ข๋น PC ๋ฅผ ์ด์ฉํ ์๋ ์๊ณ ๋ณธ์ธ์ด ์ฌ์ฉํ ์ ์๋ PC ๋ฅผ ์ด์ฉํ ์๋ ์์ต๋๋ค. ๋ง์ ํธ๋ํฝ์ด ๋ฐ์ํ๊ธฐ ๋๋ฌธ์ ๊ณต๊ฒฉ์ ๋ฐ๋ ์๋น์ค๋ ๋ถํ๊ฐ ์๊ฒจ ๋๋ ค์ง๊ฑฐ๋ ์๋ฒ๊ฐ ์ฃฝ์ ์ ์์ต๋๋ค. ๐ Dictionary Attack ๋ฏธ๋ฆฌ ๋ฐ์ดํฐ๋ฒ ์ด์ค์ ๋ฑ๋กํด๋์ ์๋ง์ ๋ฌธ์์ด์ ์ํธ๋ก ๋์ ํ๋ ๊ณต๊ฒฉ์ผ๋ก Brute Force์ ์ผ์ข ์ ๋๋ค. "ํ๋๋ง ๊ฑธ๋ ค๋ผ" ๊ณต๊ฒฉ์ด๋ผ๊ณ ๋ ๋ณผ ์ ์๋๋ฐ ๋ง์ ์น ์ฌ์ดํธ์์ ๊ฐ๋จํ ๋จ์ด๋ก ๋น๋ฐ๋ฒํธ๋ฅผ ๋ฑ๋กํ์ง ๋ชปํ๊ฒ ํ๋ ์ด์ ๊ธฐ๋ ํฉ๋๋ค. ๐ Rainbow Table ํ๋ฌธ์ ํด์ ํจ์๋ก ๋ง๋ ๋ฌธ์์ด์ ๋ชจ๋ ์ ์ฅ์์ผ ๋์ ํ๋ฅผ ๊ฐ์ง๊ณ ํ์ทจํ ๊ณ์ ๋ฐ์ดํฐ์ ์ํธ ์๋ฌธ์ ์์๋ด๋ ๊ณต๊ฒฉ์ ๋๋ค. ๊ฐ ๋ณด์ ๊ณต๊ฒฉ์ ๋ํ ๋์ ๋ฐฉ๋ฒ๊ณผ ์ฃผ์์ฌํญ๋ฑ์ ๊ณต์ ๋๋ฆฐ ์๋ฌธ์ ์์ธํ ์ค๋ช ๋์ด์์ผ๋ ๊ด์ฌ์์ผ์ ๋ถ๋ค์ ์ฐธ๊ณ ํด์ฃผ์๋ฉด ์ข๊ฒ ์ต๋๋ค. ๐ ์๋ฌธ - https://kciter.so/posts/basic-web-hacking ๐ ํจ๊ป๋ณด๋ฉด ์ข์๊ธ - ๐ ์ํธํ์ ์ข ๋ฅ: https://careerly.co.kr/comments/89377?utm_campaign=self-share