웹 해킹 기본 흐름

재폰지밥·2026년 1월 27일

공부

목록 보기
32/32
post-thumbnail

🌐 웹 해킹 기본 흐름 — 공격자는 웹을 어떻게 뚫을까?

웹 서비스는 대부분의 공격이 시작되는 지점입니다.
그래서 보안에서 웹 해킹 흐름을 이해하는 건 선택이 아니라 필수입니다.

중요한 건
“취약점 이름을 외우는 것”이 아니라
공격자가 어떤 순서로 생각하고 움직이는지입니다.


1️⃣ 웹 해킹의 핵심 관점

웹 해킹은 단순히 취약점을 찾는 게 아닙니다.

👉 공격자의 질문은 항상 이겁니다.

  • 이 서비스는 어디까지 인증을 신뢰하는가?
  • 사용자 입력은 어디서 처리되는가?
  • 서버는 무엇을 숨기고 있는가?

2️⃣ 전체 공격 흐름 한눈에 보기

  1. 대상 파악
  2. 기능 탐색
  3. 입력값 조작
  4. 인증·권한 우회
  5. 정보 노출 확인
  6. 서버 영향 확대

3️⃣ 1단계: 대상 파악 (Recon)

공격자가 보는 것

  • URL 구조
  • 파라미터 존재 여부
  • 사용 기술 (프레임워크, 서버)
  • 에러 메시지

예:

  • /login
  • /admin
  • /api/user?id=1

👉 URL 자체가 힌트 덩어리다.


4️⃣ 2단계: 기능 탐색

웹의 모든 기능은 공격 포인트가 될 수 있습니다.

주요 타겟

  • 로그인 / 회원가입
  • 비밀번호 재설정
  • 파일 업로드 / 다운로드
  • 검색 / 게시판
  • 관리자 기능

👉 “정상 기능”을 먼저 이해해야 공격이 보인다.


5️⃣ 3단계: 입력값 조작

웹 해킹의 시작점.

확인 포인트

  • 파라미터 조작 가능 여부
  • 클라이언트 검증만 존재하는지
  • 특수문자 필터링 상태

예:

  • id=1 → id=2
  • 숨겨진 파라미터 추가
  • 길이·형식 깨보기

6️⃣ 4단계: 인증·권한 우회

가장 치명적인 취약점이 나오는 구간.

대표 사례

  • 로그인 우회
  • 다른 사용자 정보 접근 (IDOR)
  • 관리자 기능 접근 가능 여부

👉 “로그인 여부”보다
“누구로 인식되는가”가 중요.


7️⃣ 5단계: 정보 노출

직접 침투하지 않아도
정보만으로도 공격은 가능합니다.

노출 예시

  • 에러 메시지
  • 디버그 정보
  • 설정 파일
  • 내부 경로

8️⃣ 6단계: 서버 영향 확대

웹 취약점이 서버 공격으로 이어지는 단계.

연결 흐름

  • 파일 업로드 → 웹쉘
  • 명령 실행 → 서버 장악
  • DB 접근 → 개인정보 유출

👉 이 단계까지 오면
웹 해킹 → 침해 사고로 전환.


🧠 정리

  • 웹 해킹은 순서의 게임이다
  • 입력값 → 권한 → 정보 → 서버로 확장된다
  • 방어자는 이 흐름을 중간에서 끊어야 한다
profile
열심히 살기

0개의 댓글