늦게 올리는데
밑에 XSS를 이해하는데 기초를 두기 위해 올려봅니다.
HTML과 웹 service에 대해 알아볼께요
인터넷에서 가장 많이 쓰이는 프로토콜이 HTTP입니다.
그래서 웹서버를 HTTP서버라고도 많이 부르는데요
이러한 웹서버를 구현하기 위해 필요한 웹 언어가 있습니다
정적인 언어 : HTML
동적인 언어 : ASP, JSP ,PHP
이 있습니다
그럼 HTTP즉 웹서버에서의 처리 요청 단계를 알아봅시다.
위에 발 그림을 보면서..^^..
1번 단계 : 일단 client가 웹 브라우저를 이용해 서버에 연결을 요청합니다.
연결 요청을 받은 서버는 클라이언트에 대해 서비스를 준비합니다
2번 단계 : 클라이언트는 읽고자 하는 문서를 서버에 요청합니다
3번 단계 : 서버는 웹 문서중 클라이언트가 요청한 문서를 클라이언트에 전송합니다
4번 단계 : 연결을 끊습니다
이것이 기본적인 HTTP에 웹 서비스 과정입니다.
다음 각 패킷에 대해 자세히 알아볼께요
(1) Request 패킷
Request 패킷은 : 웹 서버에 데이터를 요청할때 보내는 패킷으로, GET/POST/HEAD등과 같은 메소드가 있습니다.
가장많이 쓰이는 메소드로는 GET방식이 있습니다
GET 방식 : 요청한 데이터에 대한 인수를 URL방식으로 전송합니다
ex) www.wishfree.com/list.php?page=1&search=test
이러한 방식이 사용 됩니다.
즉 저런 링크를 알려줌으로써 다른 사용자도 쉽게 해당 페이지 확인이 가능하므로
보안에 취약한 면이 있습니다
POST 방식 : 요청한 데이터를 기록하지 않고 소켓을 이용해 데이터를 전송합니다.
쉽게말해 , 위에서 ?page=1& search 같은 경로가 없다고 보시면 됩니다.
즉, 다른이가 링크를 확인해도 쉽게 확인을 못해 보안에 유용한 면이 있습니다.
하지만 웹 브라우저에서 뒤로가기를 했을경우 데이터가 기록되지 않았기 때문에
새로고침 등이 뜨게 됩니다.
이러한 장,단점을 이용해
GET방식은 게시판의 글 목록이나 글보기
POST 방식은 글 /저장/삭제/수정 등에 쓰입니다.
(2)Response 패킷
Response 패킷은 클라이언트의 Request패킷에 대한 응답 패킷입니다.
담겨있는 내용으로는 서버에 protocol버전, request에 대한 실행 결과 코드, 설명문, 전달할 데이터의 형식 ,길이 등이 있습니다.
[출처] No.1 HTTP에 대하여 . .|작성자 Securely
'Security > Web Hacking' 카테고리의 다른 글
No.6 SQL인젝션 알아보기 (0) | 2012.07.11 |
---|---|
No.5 WebHacking의 시작 WebGoat설치 (0) | 2012.07.11 |
No.4 XSS 공격 실습 (0) | 2012.07.11 |
No.3 OWASP Top 10 2010 한글판 (0) | 2012.07.11 |
No.2 웹 service란 ? (0) | 2012.07.11 |