과거 폼/POST/PHP 중심의 전통적인 웹 취약점(입력검증, SQLi, XSS 등)은 잘 알지만, 모던 웹(API, JSON, JWT, SPA, CORS, SameSite 등) 의 동작 원리와 위협 모델을 체계적으로 이해하지 못해 실전 시험(버그 바운티/리얼 서비스)에서 갈피를 못 잡는다.
구체적 증상(무엇이 헷갈리는가)
- Content-Type을 바꿔서 보내면 서버가 어떻게 처리하는지(거부/무시/다른 파서로 넘어가는 상황)을 모르겠다.
- text/plain으로 JSON을 보냈을 때 어떤 경우에 취약점이 생기는지(서버 파싱/로직 문제) 모르겠다.
- Origin / Referer / SameSite / CORS의 역할과 상호작용을 헷갈려한다.
- SPA + API 구조에서 인증(쿠키 vs JWT)과 CSRF/권한 문제를 어떻게 생각해야 할지 모르겠다.
- 어떤 요청에 PATCH/PUT/POST를 기대하는지, 메서드 차이에 따른 실무 감을 못 잡는다.
- 책·튜토리얼의 ‘사례’와 “그 기본 동작 원리”를 분리해서 이해하지 못해 실서비스에 재현하는 데 어려움이 있다.
왜 이런 문제가 생겼는가 — 원인 분석
- 학습의 편향
- 초기에 PHP/폼 기반 공격(전형적 취약점)에 집중해 “요즘 스택의 통신·인증 패턴”을 놓쳤다.
- 추상화된 최신 스택
- 현대 웹은 클라이언트(브라우저)와 서버(REST/GraphQL/SPA)가 분리되어 동작하고, 브라우저가 많은 보안 결정을 담당(예: CORS, preflight, 자동 쿠키 전송)하므로 단순한 요청-응답 이해로는 부족.
- 실습 환경의 차이
- 튜토리얼과 실제 서비스는 파서 설정, 미들웨어, 보안 헤더 등 세부 구현이 달라서 '책에서 본 공격 방법'이 그대로 먹히지 않는다.
- 도구·실행환경(브라우저 vs curl) 혼동
- 브라우저가 강제하는 제약(예: 자동 preflight, 헤더 제한, 쿠키 자동전송 등)과 curl로 가능한 조작이 다르다는 점을 혼동함.
현재 어려워하는 내용들에 대해 보강하기위해 최신 실무에서 쓰이는 기술위주 기반으로 기초를 공부하고 다시 잡은 다음에
연습 환경을 마련하여 실습 후 웹 버그바운티 다시 재도전할 예정.
+ CPPG (개인정보 관리사) 자격증 준비는 계속해서 하여 2개월후 자격증 시험응시
+ 정보처리기사 공부는 틈틈히 해놓고 다음자격증 시험 응시
'과제' 카테고리의 다른 글
| HTTP의 개요 (0) | 2025.09.22 |
|---|---|
| HTTP 메서드 (0) | 2025.09.22 |
| 그누보드 대상 주요정보통신기반 웹 취약점 항목 진단 (5) | 2024.12.07 |
| ffuf 설치 및 사용 (0) | 2024.11.15 |
| 정보보안기사 준비 (필기 2022 버전) (0) | 2024.11.09 |