## 🛡️ 해킹 기술의 진화 및 웹 해킹 프로세스 요약
---
## 1. 해킹 기술의 진화와 배경
* **국내 해커의 역사**: 1986년 KAIST '유니콘'을 시초로, 90년대 시스템/네트워크 취약점 중심에서 2000년대 보안 전문 회사 설립 및 국제 해킹 대회 활성화로 이어졌습니다.
* **웹 해킹의 부상**: 1990년대 중반 이후 **방화벽(Firewall)**과 **IDS**가 보편화되면서, 유일하게 열려 있는 **80번(HTTP) 포트**를 통한 웹 애플리케이션 공격이 해커들의 주요 타겟이 되었습니다.
---
## 2. 일반적인 웹 해킹 과정
해커는 무작위 공격보다 체계적인 단계를 거쳐 침투를 시도합니다.
### A. 정보 수집 (Information Gathering)
공격 대상의 OS, 사용 언어, 서버 종류, 디렉터리 구조 등을 파악합니다.
* **Burp Suite**: 사이트 맵 기능을 통해 파일 목록 및 HTML 소스 구조를 탐색합니다.
* **구글 고급 검색 (Google Dorking)**: 검색 엔진의 특수 연산자를 이용해 민감한 정보를 찾습니다.
* `site:`: 특정 도메인 내 검색
* `filetype:`: 특정 확장자(pdf, doc 등) 검색
* `intitle:index.of`: 디렉터리 리스팅 취약점 탐색
* **스캐닝 도구**: **Wikto**와 같은 도구로 서버의 버전 및 알려진 취약점을 자동으로 검사합니다.
---
## 3. 웹 애플리케이션의 10대 취약점 (OWASP Top 10)
**OWASP(Open Web Application Security Project)**는 전 세계적으로 가장 위험한 10가지 웹 보안 위협을 정기적으로 발표합니다.
| 순위(2021) | 취약점 명칭 | 주요 내용 |
| --- | --- | --- |
| **A1** | **잘못된 접근 통제** | 권한이 없는 사용자가 데이터나 기능에 접근하는 위험 |
| **A2** | **암호화 오류** | 민감한 정보(비밀번호, 개인정보)가 평문으로 노출되거나 약하게 암호화됨 |
| **A3** | **인젝션** | SQL, OS 명령 등을 삽입하여 데이터베이스나 시스템을 조작 |
| **A4** | **안전하지 않은 설계** | 위협 모델링 등 초기 설계 단계의 결함으로 발생하는 위험 |
| **A5** | **보안 설정 오류** | 기본 페이지 방치, 최신 패치 미비, 디렉터리 리스팅 허용 등 |
| **A6** | **취약하고 오래된 컴포넌트** | 보안 패치가 되지 않은 외부 라이브러리나 모듈 사용 |
| **A7** | **식별 및 인증 실패** | 취약한 세션 관리나 사용자 인증 로직의 허점 악용 |
| **A8** | **소프트웨어/데이터 무결성 실패** | 검증되지 않은 소스나 업데이트를 신뢰하여 발생하는 위험 |
| **A9** | **보안 로그 및 모니터링 실패** | 침해 사고 발생 시 탐지하지 못하거나 추적이 불가능함 |
| **A10** | **서버 측 요청 변조 (SSRF)** | 서버가 공격자가 의도한 내부/외부 리소스에 요청을 보내게 함 |
---
