정보 출처: https://dreamhack.io/
웹 기초 지식
- HTTP Cookie - 1
HTTP는 하나의 Request와 Response의 쌍이 독립적으로 구성되어 통신하는 connectionless, stateless 프로토콜이다.
connectionless 속성은 하나의 요청에 하나의 응답을 한 후 네트워크 연결을 끝맺는 것을 의미한다. 불특정 다수의 사용자에게 서비스되어야 하는 웹의 특성상 계속해서 연결상태를 유지하는 것은 서버 부하로 이어질 가능성이 있어 connectionless를 갖게 되었다.
과거에는 네트워크, 서버 등의 부하로 인해 connectionless 속성이 강조되었지만, 최근에는 네트워크, 서버 등의 성능 향상으로 HTTP/1.1 부터 Keep-Alive를 통해 일정 시간 동안 사용자와 서버가 계속 연결을 맺고 있는 방식을 사용한다.
stateless 속성은 네트워크가 연결이 끝맺을 때 상태를 유지하는 것을 의미한다. HTTP 요청마다 새로운 커넥션을 열기 때문에 사용자 인증을 계속해서 해야 한다는 단점이 있다. 이러한 단점을 개선하기 위해 상태를 유지하기 위한 Cookie(쿠키)가 탄생했다.
웹브라우저는 HTTP Response의 Set-Cookie Header나 Javascript document.cookie를 통해 데이터를 쿠키에 저장한다.
- HTTP Response
HTTP/1.1 200 OK
Server: Apache/2.4.29 (Ubuntu)
Set-Cookie: name=test;
Set-Cookie: age=30; Expires=Fri, 30 Sep 2022 14:54:50 GMT;
...-Javascript
document.cookie = "name=test;"
document.cookie = "age=30; Expires=Fri, 30 Sep 2022 14:54:50 GMT;"데이터를 key=value; 쌍으로 쿠키에 저장하고 ;뒤에 쿠키의 만료시간, 접근할 수 있는 도메인 등 추가 옵션을 설정할 수 있다.
추후 HTTP 요청을 보낼 때 웹 브라우저가 자동으로 헤더에 쿠키를 추가해 전송한다.
쿠키는 인증 상태를 포함할 수 있다. 오른쪽 탭의 value에 guest를 넣어 전송하면 브라우저는 Cokkie: id=guest;를 서버에 보내고 서버는 해당 정보를 통해 인증된 사용자의 정보를 응답한다. value 값을 변경하면서 어떠한 응답 값을 반환하는지 확인한다.
쿠키는 사용자의 브라우저에 저장된다. 인증 상태를 쿠키에 저장하게 되면 아래와 같은 상황이 발생하게 된다.
웹 기초 지식
- HTTP Session
쿠키에 인증 상태를 포함한 데이터를 저장하면 사용자가 임의 사용자로 인증된 것처럼 요청을 조작할 수 있다. 따라서 서버에 데이터를 저장하기 위해 Session(세션)을 사용한다. 세션을 활용하면 데이터를 서버에 저장하고 해당 데이터에 접근할 수 있는 유츄할 수 없는 랜덤한 문자열 키를 만들어 응답하며, 이를 보통 Session ID라고 부른다. 브라우저는 해당 키를 쿠키에 저장하고 이후에 HTTP 요청을 보내면 서버에서 키에 해당하는 데이터를 가져와 인증 상태를 확인한다.
쿠키는 데이터 자체를 사용자가 저장하며, 세션은 서버가 저장한다는 핵심적인 차이가 있다.
웹 기초 지식
- HTTP / HTTPS
웹은 업무, 은행, 쇼핑 등 다양한 분야에서 사용되고 있고 웹 서비스와 통신하는 요청과 응답에 개인 정보(이름, 전화번호, 주소, 카드번호) 및 기업의 자산 등 민감한 정보들이 포함될 수 있다.
HTTP는 모든 데이터를 암호화 되지 않은 평문으로 전송한다. 네트워크에서 전송된 데이터를 감청할 수 있다면 HTTP로 통신하는 데이터는 평문으로 노출되고 웹에서 민감한 정보를 다룰 때 문제가 될 수 있다.
HTTPS는 Transport Layer Security(TLS), Secure Sockets Layer(SSL)를 사용해서 암호화 한다. 공개키 암호화를 사용해서 클라이언트와 서버가 키를 교환하기 때문에 비교적 안전하다.
아래에서는 Wireshark를 통해 사용자의 컴퓨터에서 전송되고 서버에서 그에 해당하는 응답 값을 전달하는 과정을 네트워크 단계에서 확인한 결과이다. 빨간 글자는 요청 값에 해당하며, 파란 글자는 응답 값에 해당한다. 두 그림의 차이를 통해 실제 네트워크에서 HTTP와 HTTPS의 차이를 알 수 있다.
- HTTP
HTTP는 네트워크상에서 평문으로 통신을 하며 상위 네트워크 장비, 같은 네트워크 상의 MITM 공격 등에 의해 통신이 노출될 경우 평문 정보를 그대로 출력되기 때문에 민감한 정보가 노출되며 심각한 위험을 초래하게 된다.
- HTTPS
HTTPS는 네트워크상에서 데이터들이 암호하되어 전달되기 때문에 일반적으로 어떤 내용의 통신을 하는지 알 수 없게 된다.
웹 기초 지식
- Domain Name / Host Name
URI 구성 요소 중 Host는 웹 브라우저가 어디에 연결할 지 정하게 된다.
Domain Name이나 Internet Protocol(IP) Address가 Host에 사용된다.
e.g.http://example.com/path1?serach=1#fragemnt => Host:exaple.com
IP Adress는 네트워크상에서 통신이 이루어질 때 장치를 식별하기 위해 사용되는 주소이다. 불규칙한 숫자로 이루어진 IP Address를 사람이 외우기 쉽고, 의미를 부여하기 위해 Domain Name을 사용한다.
Domain Name을 이용해 Host를 조회할 때는 Domain Name과 IP Adress 정보를 매핑해 저장하는 Domain Name Server(DNS)에서 조회해 등록된 IP Address를 가져와 사용한다. 웹 브라우저에서 http://example.com/ 주소로 접속할 경우 DNS에서 example.com(Domain Name)의 IP와 통신한다.
nslookup 명령어를 사용해 Domain Name의 정보를 확인할 수 있다.
웹 기초 지식
- 웹 서버 어플리케이션(1)
- Web Server
웹 서버는 사용자의 HTTP 요청을 해석하여 처리한 후 응답하여 주는 역할을 한다.
대표적으로 nginx, Apache, Tomcat, IIS 등이 있다.
웹 서버는 사용자로부터 받는 요청을 웹 서버 자체적으로 처리할지, 들어온 요청에 알맞은 내부 서비스로 연결할지를 정할 수 있다. 예를 들어 클라이언트가 접근한 URI가 .html 확장자를 가진 리소스라면 웹 서버에서 해당 경로의 html을 반환해주고, .php 확장자를 가진 리소스라면 php 엔진을 통해 해당 요청을 처리한다. 또한 /payment/ 경로로 시작하는 요청에 대해서는 payment를 처리하기 위한 어플리케이션에 요청을 연결해주는 역할을 수행하는 것이 가능하다.
- Web Application
웹 어플리케이션은 사용자의 요청을 동적으로 처리할 수 있도록 만들어진 어플리케이션이다.
웹 어프릴케이션을 작성할 때는 사용자가 요청한 내용을 동적으로 처리하기 위해 Web Application Language가 사용되며 대표적으로 PHP NodeJS Python Java 등이 존재한다.
이 외에도 굉장히 많은 언어가 존재하며 Python의 django와 flask 그리고 Java의 spring처럼 웹 개발을 편하게 해주는 프레임워크도 많이 존재한다.
또한 웹 어플리케이션은 서버에서 동작하기 때문에 웹 어플리케이션 구현체에서 취약점이 발생하게 되면 서버에 직접적인 영향을 끼치게 된다.
웹 기초 지식
- 웹 서버 어플리케이션(2)
- DataBase Management System
DataBase Management System (DBMS)은 데이터베이스 내의 데이터 조회/수정/삽입을 용이하게 할 수 있도록 도와주는 서버 어플리케이션이다. MySQL, MS-SQL 등을 DBMS라 하며 해당 어플리케이션들이 관리하는 데이터를 데이터베이스라고 한다. 데이터베이스에는 사용자의 인증, 상품, 문서 등 중요한 개인 정보가 포함된 여러 가지 내용이 존재하기 때문에 보안에 각별히 신경써야 한다.
프로그래머는 데이터베이스 내용을 조회/수정/삽입하기 위해 DBMS를 사용한다.
DBMS는 SQL Query를 통해 제어하는데, 이때 사용자의 입력 값을 SQL Query에 필터링 없이 사용하게 되면 SQL Injection 공격에 노출되게 된다.
