🌐 웹 해킹 기본 흐름 — 공격자는 웹을 어떻게 뚫을까?
웹 서비스는 대부분의 공격이 시작되는 지점입니다.
그래서 보안에서 웹 해킹 흐름을 이해하는 건 선택이 아니라 필수입니다.
중요한 건
“취약점 이름을 외우는 것”이 아니라
공격자가 어떤 순서로 생각하고 움직이는지입니다.
1️⃣ 웹 해킹의 핵심 관점
웹 해킹은 단순히 취약점을 찾는 게 아닙니다.
👉 공격자의 질문은 항상 이겁니다.
- 이 서비스는 어디까지 인증을 신뢰하는가?
- 사용자 입력은 어디서 처리되는가?
- 서버는 무엇을 숨기고 있는가?
2️⃣ 전체 공격 흐름 한눈에 보기
- 대상 파악
- 기능 탐색
- 입력값 조작
- 인증·권한 우회
- 정보 노출 확인
- 서버 영향 확대
3️⃣ 1단계: 대상 파악 (Recon)
공격자가 보는 것
- URL 구조
- 파라미터 존재 여부
- 사용 기술 (프레임워크, 서버)
- 에러 메시지
예:
/login
/admin
/api/user?id=1
👉 URL 자체가 힌트 덩어리다.
4️⃣ 2단계: 기능 탐색
웹의 모든 기능은 공격 포인트가 될 수 있습니다.
주요 타겟
- 로그인 / 회원가입
- 비밀번호 재설정
- 파일 업로드 / 다운로드
- 검색 / 게시판
- 관리자 기능
👉 “정상 기능”을 먼저 이해해야 공격이 보인다.
5️⃣ 3단계: 입력값 조작
웹 해킹의 시작점.
확인 포인트
- 파라미터 조작 가능 여부
- 클라이언트 검증만 존재하는지
- 특수문자 필터링 상태
예:
id=1 → id=2
- 숨겨진 파라미터 추가
- 길이·형식 깨보기
6️⃣ 4단계: 인증·권한 우회
가장 치명적인 취약점이 나오는 구간.
대표 사례
- 로그인 우회
- 다른 사용자 정보 접근 (IDOR)
- 관리자 기능 접근 가능 여부
👉 “로그인 여부”보다
“누구로 인식되는가”가 중요.
7️⃣ 5단계: 정보 노출
직접 침투하지 않아도
정보만으로도 공격은 가능합니다.
노출 예시
- 에러 메시지
- 디버그 정보
- 설정 파일
- 내부 경로
8️⃣ 6단계: 서버 영향 확대
웹 취약점이 서버 공격으로 이어지는 단계.
연결 흐름
- 파일 업로드 → 웹쉘
- 명령 실행 → 서버 장악
- DB 접근 → 개인정보 유출
👉 이 단계까지 오면
웹 해킹 → 침해 사고로 전환.
🧠 정리
- 웹 해킹은 순서의 게임이다
- 입력값 → 권한 → 정보 → 서버로 확장된다
- 방어자는 이 흐름을 중간에서 끊어야 한다