웹 서버 해킹 및 웹 애플리케이션 보안 | 10장 | Ep. 2023년 10월

열려 있는 포트를 식별하는 단계를 지나면 웹 애플리케이션 해킹 프로세스가 시작됩니다. 이번 에피소드에서는 PHP와 JavaScript부터 ODBC/ADO를 통한 데이터베이스 연결에 이르기까지 최신 웹을 구동하는 동적 구성 요소의 막을 열었습니다. 우리는 동적 양식 및 서버측 스크립팅과 같은 개발자의 디자인 선택이 어떻게 공격자가 악용하는 취약점을 실수로 생성하는지 분석하고 이러한 중요한 인터페이스를 테스트하고 보호하기 위한 로드맵을 제공합니다. 원본 자료를 직접 활용하고 AI 기반 학습 도구를 사용하여 지식을 테스트해 보세요. https://notebooklm.google.com/notebook/af9194f8-c109-4c4f-b913-5cb992a1cfdc Dr. Joseph H. Schuessler | Tarleton State University 정보 시스템 교수 | 품질 문제(QM) 마스터 리뷰어 | 효과적인 교육에 대한 ACUE 고급 인증. 교과서 참조: Wilson, RS, Simpson, MT, & Antill, N. (2022). 실무형 윤리적 해킹 및 네트워크 방어(4판). 센게이지. https://www.cengage.com/c/hands-on-ethical-hacking-and-network-defense-4e-wilson-simpson-antill/9780357509753/ 논의된 리소스: OWASP 상위 10대 프로젝트: https://owasp.org/www-project-top-ten/ Burp Suite: https://portswigger.net/burp Zed 공격 프록시(ZAP): https://www.zaproxy.org/ 이 에피소드에서 배울 내용: 0:00 – 웹 양식 역설: 경계 대 애플리케이션 1:33 – 애플리케이션 보안(AppSec): 간과된 중간 단계 4:22 – 웹의 진화: 정적 대 동적 7:40 – 아키텍처: CGI, 웹 양식 및 서버 프레임워크 12:06 – 타사 프레임워크의 공급망 위험 14:10 – 웹 서버 경쟁: IIS 대 Apache 18:16 – 스크립팅 언어: PHP, Cold Fusion 및 JavaScript 21:36 – 클라이언트 측 실행의 위험(JavaScript) 23:51 – 데이터베이스 상호 연결성: ODBC, OLE DB 및 ADO 27:39 – ADO 연결 분석 30:19 – 웹 서버 손상의 영향 32:15 – OWASP 상위 10: 위협 환경 매핑 34:12 – WebGoat: 보안 테스터를 위한 안전한 샌드박싱 36:18 – 테스트 방법론: SAST, DAST 및 IAST 39:07 – 정보 수집 및 아키텍처 매핑 40:29 – 인증 대 승인 테스트 41:39 – 입력 검증: SQL 주입 분석 46:04 – 블라인드 SQL 주입 및 오류 처리 위험 48:25 – 암호화 구현 결함 49:14 – 비즈니스 로직 테스트: 순차 흐름 파괴 51:00 – 클라이언트 측 제어: 편의 함정 52:14 – 웹 앱 분석 도구 키트 54:19 – Burp Suite: 헤비급 프록시 56:36 – Wapiti를 사용한 퍼징: 웹 앱을 위한 카오스 엔지니어링 58:52 – 결론: AI 지원 적처럼 생각하기 학습 투명성: 이 콘텐츠는 Google Gemini 및 NotebookLM의 도움을 받아 개발되었습니다. 이러한 도구는 과정 개념을 구성하고, 기술 문서를 종합하고, 학생들을 위한 대화형 학습 자료를 만드는 데 활용되었습니다.