본문 바로가기

J 바로가기

📌CS/Web13

[Web] Stateful vs. Stateless 서비스 1. Stateful Service Stateful '구조'는 Server와 Client간 세션의 'State(상태)'에 기반하여 Client에 response를 보냅니다. 이를 위해 서버 사이드에 '클라이언트와 서버의 동작, 세션 상태 정보'를 저장한다. TCP 대표적인 Stateful 구조를 따르는 프로토콜로 TCP가 있다. TCP의 3-way handshaking 과정을 생각해보면, Server와 Client는 3-way handshaking 과정에서 SYN과 SYNACK을 주고 받으며, 양단간 세션 '상태'를 established한 '상태'로 만든다. 세션 '상태'가 established가 되면 client와 server는 데이터를 주고 받을 수 있다. 이렇게 TCP는 세션 '상태'에 따라 Ser.. 2021. 9. 26.

[Web] 스크래핑 vs 크롤링 스크래핑(Scraping) 웹 사이트 상에서 원하는 정보를 추출하는 기술 스크래퍼는 특정 웹 사이트 또는 페이지에서 특정 데이터를 추출하는 프로세스이다. 스크래핑을 수행하기 위해서는 먼저 필요한 정보를 찾기 위해 웹 크롤링 같은 작업을 수행해야 한다. 즉, HTTP를 통해 웹 사이트의 내용을 추출하여 원하는 형태로 가공하는 것이다. 쉽게 말해 웹 사이트의 데이터를 수집하는 모든 작업을 뜻한다. ex) 주식 시장 데이터, 비즈니스 리드, 공급업체 제품 크롤링도 일종의 스크래핑 기술이라고 할 수 있다. 크롤링(Crawling) 웹 크롤러(자동화 봇)가 일정 규칙으로 웹 페이지를 브라우징 하는 것 크롤러란 조직적, 자동화된 방법으로 월드와이드 웹(WWW)을 탐색하는 컴퓨터 프로그램이다. 크롤링은 크롤러가 하는.. 2021. 8. 24.

[Web] HTTP와 HTTPS 차이점 HTTP HTTP(Hyper Text Transfer Protocol)란 서버/클라이언트 모델을 따라 데이터를 주고 받기 위한 프로토콜이다. HTTP는 인터넷에서 하이퍼텍스트를 교환하기 위한 통신 규약으로, 80번 포트를 사용하고 있다. 따라서 HTTP 서버가 80번 포트에서 요청을 기다리고 있으며, 클라이언트는 80번 포트로 요청을 보내게 된다. HTTP는 1989년 팀 버너스 리(Tim Berners Lee)에 의해 처음 설계되었으며, WWW(World-Wide-Web) 기반에서 세계적인 정보를 공유하는데 큰 역할을 하였다. WWW(World Wide Web)에 내재된 프로토콜이다. 인터넷에서 자원(파일, 이미지, 비디오)을 교환하는 프로토콜(약속, 규칙) 기본 포트 80 하이퍼텍스트 문서를 표현하기.. 2021. 8. 18.

[Web] XSS와 CSRF(XSRF)의 차이점 이전에 XSS와 CSRF 에 대한 글을 작성한 점이 있지만 복습겸 차이를 분명히 하기 위해 다시 작성한다. 2021.04.25 - [📌CS/Web] - XSS(Cross-site Scripting) 공격 2021.04.25 - [📌CS/Web] - CSRF(Cross-site Request Forgery) 공격 결론부터 말하자면, XSS는 공격대상이 Client이고, CSRF는 Server이다. XSS은 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, CSRF는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다. 따라서, XSS는 사이트변조나 백도어를 통해 클라이언트에 대한 악성공격을 한다. CSRF는 요청을 위조하여 사용자의 권한을 이용해 서버에 대한 악성공격을 한다. XSS(.. 2021. 8. 4.

[Web] Web Server 와 WAS의 차이 Web Server 웹 브라우저 클라이언트로부터 HTTP 요청을 받아 정적인 컨텐츠(.html .jpeg .css 등)를 제공하는 컴퓨터 프로그램 HTTP 프로토콜을 기반으로 하여 클라이언트(웹 브라우저 또는 웹 크롤러)의 요청을 서비스 하는 기능을 담당한다. 정적인 콘텐츠 제공 : WAS를 거치지 않고 바로 자원 제공 동적인 컨텐츠 제공을 위한 요청 전달 : 클라이언트 요청을 WAS에 보내고, WAS가 처리한 결과를 클라이언트에게 전달(응답)한다. 클라이언트는 일반적으로 웹 브라우저 ex) Apache Server, Nginx, IIS(Windows 전용 Web 서버) 등 엔진엑스는 아파치의 단점을 보완하기 위해 만든 프로그램. 아파치는 C10K Problem이라고 해서 하나의 웹서버에 10,000개의.. 2021. 8. 4.

[Web] GET과 POST 차이 GET 서버로부터 정보를 조회하기 위해 설계된 메소드 요청을 전송할 때 필요한 데이터를 Body에 담지 않고, query string을 통해 전송한다. 불필요한 요청을 제한하기 위해 요청이 캐시될 수 있다. js, css, 이미지 같은 정적 컨텐츠는 데이터가 크고, 변경될 일이 적어 반복해서 동일한 요청을 보낼 필요가 없다. 정적 컨텐츠를 요청하고나면 브라우저에 요청을 캐시해두고 동일한 요청이 왔을 때 서버로 요청을 보내지 않고 캐시된 데이터를 사용한다. 데이터가 URL에 나타나므로 보안에 취약하다. POST 리소스를 생성/변경하기 위해 설계된 메소드 요청을 전송할 때 필요한 데이터를 Body에 담아서 전송한다. HTTP 메세지의 Body는 길이의 제한없이 데이터를 전송할 수 있다. 따라서 GET과 달리.. 2021. 8. 3.

CSRF(Cross-site Request Forgery) 공격 개념 Cross-site Request Forgery(사이트 간 요청 위조)의 약어로 사용자가 자신의 의지와 무관하게 공격자가 의도한 행동을 해서 특정 웹 페이지를 보안에 취약하게 하거나 수정, 삭제 등의 작업을 하게 만드는 공격 방법. 공격 난이도가 높지 않아 흔히 사용된다. XSS을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, CSRF는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다. 공격 과정 만일, 웹 페이지가 독자적 개발이 아닌 외부에서 이미 개발된 웹 어플리케이션을 사서 조금 수정한 것이라면, 공격자는 경우에 따라 해당 웹 어플리케이션을 구매하여 개인 서버에 설치한다. 그 다음에 공격 가능 패턴을 분석한다. 주로 공격자들이 찾는 것은 사용자 패스워.. 2021. 4. 25.

XSS(Cross-site Scripting) 공격 개념 Cross-site Scripting의 약자로 게시판이나 웹 메일 등에 스크립트 코드를 삽입해 개발자가 고려하지 않은 기능이 작동하게 하는 웹 해킹 공격 기법이다. 주로 사용자를 대상으로 한 공격이다. SQL injection과 함께 웹 상에서 가장 기초적인 취약점 공격 방법의 일종이다. 주로 CSRF를 하기 위해서 사용되기 때문에 종종 CSRF와 혼동되는 경우가 있으나, XSS는 스크립트를 실행시키는 것이고, CSRF는 특정한 행동을 시키는 것이므로 다르다. (CSS는 Cascading Style Sheets의 약어로 사용되고 있어 XSS라고 한다.) 종류 Reflected XSS Stored XSS 1. Reflected XSS 보통 URL 파라미터(특히 GET 방식)에 스크립트를 넣어 서버에 .. 2021. 4. 25.

[Web] param vs query vs body 개념 Request 객체는 API를 컨트롤하기 위한 메소드로 아래 세가지를 담고 있다. param query body req.param 주소에 포함된 변수를 담는다. 예를 들어 https://naver.com/post/12345 라는 주소가 있다면 12345를 담는다. 서버에서 Path Variable 로 칭한다. req.query 주소 바깥, ? 이후의 변수를 담는다. 예를 들어 https://naver.com/post?post_id=12345 일 경우 Node.js를 담는다. &로 연결하여 여러 개의 데이터를 넘길 수 있다. https://naver.com/post?post_id=1235&key=value 서버에서 Query parameter 로 칭한다. req.body XML, JSON, Multi.. 2021. 4. 18.

이전 1 2 다음

티스토리툴바