사실 책이 전공자용이라 뒤로 갈수록
정보보안이랑 엮는 등 딥한 내용이 많다.
하쥐만 필요한 용어정도만 정리를 해봤다.
책을 다시 읽는 것보단 나도 내 정리본을 읽고
용어를 눈에 익혀야겠다~.~
[ 스니퍼 ] : 패킷 수집시 사용하는 해석 툴
- 클라이언트 가동 방식 : 주소(url)로 웹 서버 리소스 파일의 정보를 얻어 작동
[ HTTP암호화 ] : 도청, 변조, 위장에 취약하므로 보호 정책이 필요함
- 클라측에서 JavaScript로 체킹하나 UI향상 수준(입력실수 찾기)이지 변조된 경우는 잡아낼 수 없음
|
통신암호화
|
SSL이나 TLS 등 타프로토콜 조합으로 통신 암호화
|
HTTTPS, HTTP over SSL
|
|
콘텐츠암호화
|
HTTP 메세지에 포함되는 운반되는 콘텐츠를 출력 처리시 암호화
|
웹 서비스
|
|
상대식별
|
HTTP는 증명이 되지 않아 SSL로 증명서를 제공받아 상대 확인
|
SSL 증명서
|
|
변조방지
|
변조 부분 식별) 웹 사이트에서 PGP 서명, MD5 서명 제공한 것을 다운로드 파일 토대로 검사
완전 식별) HTTP의 통신소켓을 SSL로 대체하여 * MAC이라는 다이제스트를 붙여 변조감지를 통한 완전 보호 실현 |
변조부분 식별) PGP서명, MD5 서명
완전식별) HTTPS
|
[ 안전통신 HTTP구조 ] : 표 위>아래 순서대로 통신 진행
|
명령
|
설명
|
구분
|
|
ClientHello
|
클라가 해당 명령을 송신 후 SSL통신 시작
|
handshake
|
|
ServerHello
|
SSL 통신 가능시 해당 명령으로 응답
|
handshake
|
|
Certificate
|
서버가 공개키 증명 메세지를 송신
|
handshake
|
|
ServerHelloDone
|
서버가 최초 SSL네고시에이션 완수
|
handshake
|
|
ClientKeyExchange
|
클라가 해당 명령으로 응답
|
handshake
|
|
ChangeCipherSpec
|
클라가 해당 명령을 송신
|
|
|
Finished
|
클라가 해당 명령을 송신하여 서버가 올바른 복호화가 가능한지 여부 결정
|
handshake
|
|
ChangeCipherSpec
|
클라가 해당 명령을 송신
|
|
|
Finished
|
클라가 해당 명령을 송신
|
handshake
|
|
Application Data(HTTP)
|
Finished 교환 후 SSL에 의해 접속이 확립됨에 따라APP계층 프로토콜 통신 시작
= HTTP의 리퀘 송신
|
|
|
Application Data(HTTP)
|
HTTP 리스폰스 송신
|
|
|
Alert : warning/close notify
|
클라가 접속을 close notify 명령어를 송신, TCP FIN 명령으로 TCP 통신 종료
|
[ 인증 ] : 엑세스에서 클라의 이름을 알려달라하는 시스템
- 인증 정보 = 패스워드/원타임토큰/전자증명서(단말기)/바이오매트릭스/IC카드
- HTTP/1.1 인증 방법
|
BASIC
|
코드401, 문자열을 헤더 필드에 포함하여 리스폰스 반환 => 유저 정보가 자동 Base64 변환
=> 서버 검토 => 리스폰스 반환
|
|
DIGEST
|
* 챌린지 리스폰스 방식 활용
realm과 nonce를 헤더필드에 포함하여 리스폰스 반환 => DIGEST인증용 정보를 Authorization 헤더 필드(username,relm,nonce,uri,response)에 포함하여 리스폰스 반환 => 서버의 인증정보 정확 판단 후 리퀘URI의 리소스를 포함한 리스폰스 반환
|
|
SSL 클라
|
* HTTP인증서 이용함
서버가 클라에게 Certificate Request 송신 => 유저가 클라의 증명서 선택 => 서버의 증명서 검증 후 정확시 공개키 취득 => HTTP의한 암호 개시
|
|
폼 베이스
|
* 대부분의 인증방식으로 쿠키를 사용하여 세션관리
클라가 웹앱 자격정보 송신 => 서버의 세션ID 발행 => 클라의 세션ID를 쿠키 저장 후 리퀘 송신시 자동으로 쿠키 송출
|
[ HTML ] : 웹 상에 하이퍼텍스트를 보내기 위해 개발된 언어
- HTML 태그 : HTML로 쓰인 문서를 브라우저가 해석하여 랜더링 처리한 결과를 표시, <>사용
- CSS : HTML 디자인하는 스타일 시트 사양,{}사용
- DOM : HTML/XL문서용 API, 디자인 변경 및 조작용
- XML : 파생어로 목적따른 확장 및 범용 사용의 마크업 언어, 데이터 기술에 특화(재사용 용이)
ㄴ RSS : 기사 등 갱신정보 송신 포멧으로 XML사용
[ 웹앱 ] : 웹 기능을 사용하여 제공하는 프로그램
- CGI : 웹서버가 클라에게 받은 리퀘스트를 요건 맞게 동적으로 콘텐츠를 생성하여 프로그램에 전달
ㄴ PHP, C언어 등 프로그래밍어 사용
[ JSON ] : 경량 데이터 기술 언어, JavaScript에서 오브젝트 표기법 바탕
- 데이터형 = f/t/null/오브젝트/배열/수치
- 데이터를 단순하고 가볍게 읽음
[ SQL인젝션 ] : 웹앱을 이용하는 DB에 부정하게 공격 실행하여 기밀 누설
- SQL : 관계현 DB관리 시스템으로 데이터 조작 및 정의 목적
- 이 외에도 다양한 클릭,패스워드 등 제킹에 대한 대비 필요
'관련 도서 및 지식 > BOOK' 카테고리의 다른 글
| UX가 중요한 이유 - 일단 해보라구요? UX (0) | 2023.06.01 |
|---|---|
| 그림으로 이해하는 AWS 구조와 기술(2) : VPC서비스를 중심으로 (0) | 2022.12.16 |
| 그림으로 이해하는 AWS 구조와 기술 : 서버 개념을 중심으로 (0) | 2022.12.16 |
| 비전공자를 위한 이해할 수 있는 IT지식 (2) | 2022.12.16 |
| 네트워크 이해하기 (책 : 그림으로 배우는 HTTP NETWORK Basic) (1) (1) | 2022.12.16 |