Closed arrester closed 5 years ago
smartbos
commented
5 years ago OWASP(The Open Web Application Security Project)에서 3년에 한 번씩 가장 위험한 웹 애플리케이션 보안 위협 10가지를 정리해서 발표하고 있습니다. 이를 참고하시면 궁금해하시는 걸 일부분 해소하실 수 있을 것 같아요. https://www.owasp.org/images/b/bd/OWASP_Top_10-2017-ko.pdf
egoing
commented
5 years ago HTML만으로 된 사이트는 공격을 당할 확률이 현저히 떨어집니다. 하지만 웹서버도 보안적인 결함이 있을 수 있기 때문에 안전하다고 이야기하기는 어렵습니다. 하지만 개인적으로는 안전하다고 느끼고 있습니다. ^^ 전문가 분들을 링크 걸어봤습니다.
davidkwak
commented
5 years ago 안녕하세요
문의하신 내용중
1) HTML 만으로 작성된 페이지가 공격 가능한가? HTML 만으로 작성이 된다면 사용자로부터 입력(로그인, 게시판, 검색 등)이 전혀 없을것이고 할 수 있는거라곤 오로지 기존에 작성된 내용을 보여주는 것 뿐이기 때문에 웹 페이지를 통해 해킹이 발생할 가능성은 거의 없다고 보셔도 됩니다.
다만 위에 egoing님께서 말씀하신 것처럼 그 웹 페이지가 올라가있는 서버 자체의 문제로 인해 해킹이 발생할 수는 있지만 이는 웹 해킹의 범주가 아니므로 ....
2) HTML만으로 작성된 페이지가 완벽한 보안인가? 흠... 보안적으로는 안전하겠지만 ... 실제 서비스에서 쓸수있는 부분은 거의 없을거라서... 이런 가정이 사실상 무의미 합니다 ^^;;
3) 공부 방법 말씀하신대로 기본적인 언어 공부와 실전 해킹 공부를 같이하는것도 괜찮습니다. 다만, 양쪽 모두에서 잘 모르는 부분이 많이 발생할 것으로 예상되기 때문에 더 많은 끈기와 삽질이 필요할 수는 있겠습니다. 자기가 삽질을 좋아하는 스타일이라면 그대로 진행하시고, "난 막히는거 없이 순서대로 쭉 진행하는게 좋다" 라는 타입이시라면 프로그래밍 언어를 대충이라도 한번 먼저 보시고 실전해킹을 보시는걸 권유드립니다. (하지만 결국 자기 하고픈대로 하는거죠 뭐 ㅎㅎㅎ )
fermat39
commented
5 years ago 안녕하세요... WebGoat 이라는 웹 취약점을 학습할 수 있는 좋은 도구가 있습니다.
아래와 같이 관련 링크 보내드립니다. 유명한 웹애플리케이션이니 관련 자료들 많이 쉽게 찾으실 수 있을실거예요...
babomose
commented
5 years ago 질문을 정리해보면 Q1. HTML 소스로만 작성 된(HTML 생활코딩 강의 다 들었다는 기준) 페이지가 공격에 위험 할 수 있나요?
아파치 서버의 보안설정 예이며, 그 외에도 다양한 웹서버가 세상에 있습니다. https://www.acunetix.com/blog/articles/10-tips-secure-apache-installation/
Q2. 위험하지 않는다면 HTML소스만으로 작성된 페이지가 완벽한 보안이라 볼 수 있나?
Q3. 현재 HTML 수강 완료한 상태입니다.
일단 php를 공부하셔야 webhacking.kr 문제풀이가 가능하실거에요.
bWAPP 이라는게 있는데 웹고트와 비슷합니다. webhacking.kr 보다 쉽고, 웹 해킹에 대해 전혀 모른다면 먼저 해보는게 큰 도움이 될겁니다. http://www.itsecgames.com/
bWAPP에서 모르는 문제가 있다면, 구글이나 유투브에서 검색하시면 됩니다.
'bWAPP 공격명' 이렇게 검색해보세요~ 저어어어엉말 많은 동영상을 보실 수 있을거에요.
ex) bWAPP sql injection
응원합니다!!
arrester
commented
5 years ago smartbos님 egoing님(전문가분들 초대링크 감사합니다!) davidkwak님 fermat39님 babomose님 좋은 답변 및 조언 감사합니다.
HTML 공부에 도움 많이 되고 있습니다. 추천해주신 bwapp webgoat 워게임 사이트 및 공부방법에 대해서도 조언 해주셔서 정말 감사합니다. 아직 많이 부족한 상태라 공부하면서 또 궁금점이 있으면 도움 요청하겠습니다!
안녕하세요! 웹보안 관련해서 질문드립니다. 처음 웹해킹 웹보안 관련해서 공부를 병행하기 위해 우선 HTML 강의를 들어야 되겠다고 판단했습니다. 그래서 HTML 강의를 다 들었고 해당 강의와 더불어 제가 검색하면서 알게 된 지식과 생활코딩 강의를 포함한 부분으로 웹 페이지를 나름 작성해보다가 느낀점을 질문하려고 이렇게 게시글을 작성하게 되었습니다.
해결하고자 하는 문제
HTML강의만으로 만든 페이지를 호스팅되어 사람들이 접근 할 수 있는 홈페이지가 되었다고 가정해보겠습니다. 그런 경우 웹해킹 공격을 받을 수도 있는 건지 의문이 문득 들었습니다. 보안을 좋아하는 저로서는 백앤드 php,jsp,asp 등으로 구성된 회원가입 및 게시판이 구현되어 있는 홈페이지만 공격이 되는건가? 아니면 회원가입 및 게시판이 없는 홈페이지도 공격을 받을 수 있는가? 이렇게 의문점이 들었습니다. 만약 HTML 페이지가 공격을 받는다면 어떤 공격기법들이 있을 수 있으며, 공격을 받지 않는다면 소스에 보안적인 기법이 들어갈 필요가 없는건지 궁금합니다.
또한 웹해킹 보안 관련해서 추가적인 공부 팁 알려주시면 감사하겠습니다.
질문을 정리해보면 Q1. HTML 소스로만 작성 된(HTML 생활코딩 강의 다 들었다는 기준) 페이지가 공격에 위험 할 수 있나요?
Q2. 위험하지 않는다면 HTML소스만으로 작성된 페이지가 완벽한 보안이라 볼 수 있나? 만약 공격이 가능하다면 어떤 기법들이 적용되는건지 그에 따른 보안 기법은 뭐가 있는지 대표적인 것들이 궁금합니다.
Q3. 현재 HTML 수강 완료한 상태입니다. 그동안 여러 검색을 통해 알아본 정보는 해킹보안 공부에는 순서가 없다는 의견이 많았습니다. 보통 순서라하면 프로그래밍 - 운영체제 - 네트워크 를 익히고 시작하라와 바로 워게임부터 하라는 의견이 많은데 저는 워게임과 해당하는 분야의 공부로 병행하고 있습니다. 앞으로 webhacking.kr 문제풀이와 javascript 강의를 병행하면서 공부를 할 예정입니다. javascript 수강이 끝나면 [web2] php , myql 과 [web3] php+mysql 까지 들으면서 webhacking.kr 문제풀이를 계속 병행할 생각인데 웹해킹보안 관련해서 이 병행방법이 어떤지 의견 듣고 싶습니다. 따로 추가적인 팁이 있다면 조언 해주시면 감사하겠습니다.