웹 보안은 실제 거래이며 나쁜 일이 일어나기를 기다리는 것보다 빨리 인정하는 것이 좋습니다.
웹 서비스 및 애플리케이션을 포함한 기술의 급속한 발전은 현대 비즈니스에 혁명을 가져왔습니다. 많은 기업이 대부분의 운영을 온라인으로 전환하여 전 세계의 직원과 비즈니스 파트너가 실시간으로 쉽게 협업하고 데이터를 공유할 수 있도록 했습니다.
최신 HTML5 웹 앱과 Web 2.0이 도입된 후 고객 요구 사항이 변경되었습니다. 이제 모든 사람은 365일 24시간 연중무휴로 필요한 모든 정보에 액세스하기를 원합니다. 결과적으로 온라인 비즈니스도 데이터를 항상 사용할 수 있도록 해야 합니다.
글로벌 잠금 기간은 재택 및 온라인 소매업체에서 일하는 사람들에게는 꽤 좋았을지 모르지만 사이버 범죄자들에게도 엄청난 혜택을 주었습니다.
증가하는 온라인 거래와 원격 근무로 인해 많은 신용 카드 정보를 해킹하고 원격 근무자와 그 조직을 표적으로 삼았습니다. 이 발전은 또한 때때로 새로운 위협 벡터를 개발하는 사기꾼과 악의적인 해커를 초대했습니다.
올해 기업의 약 80%가 사이버 공격의 급증을 목격한 반면 코로나바이러스로 인해 은행에 대한 위협이 238% 증가했다고 한 보고서는 밝혔습니다. 보고서.
이러한 모든 공격을 완화하기 위해 웹 애플리케이션 보안이 탄생했습니다. 그리고 이 산업은 조직이 데이터, 비용 및 소비자 신뢰를 잃지 않도록 보호할 수 있는 재능 있는 전문가를 필요로 합니다.
이것이 보안에 대한 사항, 웹 보안 전문가에게 기대되는 사항, 기술을 배우고 마스터할 수 있는 소스를 이해하는 이 기사의 목표입니다.
자, 시작해 볼까요?
목차
웹 애플리케이션 보안이란 무엇입니까?
웹 보안, 사이버 보안 또는 웹 애플리케이션 보안은 애플리케이션 코드와 관련된 취약성을 악용하는 다양한 위협으로부터 온라인 서비스 및 웹 사이트를 보호하는 방법입니다.
이러한 공격의 일반적인 대상 중 일부는 phpMyAdmin과 같은 데이터베이스 관리 솔루션, SaaS 애플리케이션, WordPress와 같은 콘텐츠 관리 시스템(CMS) 등입니다.
웹 보안은 무단 액세스, 사용, 파괴/중단 또는 수정을 거부하여 이러한 공격을 방지하는 것을 목표로 합니다.
그렇다면 공격자가 웹 애플리케이션을 광범위하게 노리는 이유는 무엇일까요?
- 애플리케이션 소스 코드의 고유한 복잡성은 코드 조작뿐만 아니라 취약점의 가능성을 높입니다.
- 응용 프로그램을 실행하기 쉽습니다. 따라서 공격자는 한 번에 수천 개의 애플리케이션을 대상으로 할 수 있는 대부분의 공격을 쉽게 시작하거나 자동화할 수 있습니다.
- 소스 코드 조작을 통한 민감한 개인 데이터와 금전적 손실을 포함하는 고가의 손실
일반적인 유형의 취약점
XSS(교차 사이트 스크립팅)
XSS를 사용하면 공격자가 웹 페이지에 클라이언트 측 스크립트를 주입하고 중요한 데이터에 직접 액세스하고 사용자를 속여 중요한 데이터를 공개하거나 사용자를 가장할 수 있습니다. 그 결과 계정 액세스, 트로이 목마 활성화, 페이지 콘텐츠 변경 등이 포함됩니다.
CSRF(교차 사이트 요청 위조)
CSRF는 권한 부여 또는 인증을 활용하는 요청을 하는 피해자를 속입니다. 따라서 이러한 계정 권한을 통해 공격자는 사용자를 가장하여 요청할 수 있습니다. 자금 이체, 비밀번호 변경 등이 발생할 수 있습니다.
서비스 거부(DoS) 및 분산 서비스 거부(DDoS)
공격자는 다양한 공격 트래픽으로 대상 서버 및/또는 해당 인프라에 과부하를 줍니다. 서버가 잉크 입력 요청을 효과적으로 처리할 수 없게 되면 느리게 동작하기 시작하고 결국에는 합법적인 방문자로부터도 더 많은 수신 요청에 대한 서비스를 거부합니다.
SQL 주입 💉
공격자가 취약점을 악용하는 데 사용하는 방법은 데이터베이스가 검색 쿼리를 구현하는 방식과 유사합니다. 공격자는 SQI를 사용하여 승인되지 않은 데이터에 액세스하고, 사용자 권한을 생성 또는 수정하고, 민감한 데이터를 파괴 또는 조작하는 등의 작업을 수행합니다.
원격 파일 포함
공격자는 이를 사용하여 코드가 포함된 악성 파일을 웹 앱 서버에 주입하여 이러한 코드를 실행하여 애플리케이션에 피해를 주고 조작하고 데이터를 도용합니다.
기타
기타 공격에는 메모리 손상, 데이터 침해, 클릭재킹, 디렉토리 탐색, 명령 주입, 버터 오버플로 등이 있습니다.
웹 보안이 시급하고 왜 모든 사람이 가능한 한 빨리 보안을 구현해야 애플리케이션에 위협이 되고 해당 문제로 인해 재정적 또는 평판에 해가 될 수 있다는 점을 이해하기에 충분하기를 바랍니다.
수요가 증가함에 따라 많은 사람들이 배우러 오고 있습니다. 그리고 만약 당신이 이 주제를 배우는데 열심이라면, 그것은 훌륭한 직업 선택이 될 수 있고 개인적인 수준에서 유익할 수 있습니다.
웹 보안 전문가는 무엇을 합니까?
웹 보안 전문가는 웹 애플리케이션, 관련 네트워크 및 애플리케이션 데이터를 보호하는 일을 담당합니다. 네트워크를 모니터링하고 위협에 대응하여 데이터 침해를 완화하는 데 도움이 됩니다.
이 전문가들은 네트워크 또는 시스템 관리자, 프로그래머로서의 배경을 가지고 있습니다. 호기심, 비판적 사고, 연구에 대한 열정, 배움이 필요한 분야이기 때문입니다. 그들은 다양한 위협을 개발하고 주입하는 데 “파괴적으로 창의적”인 해커를 능가할 수 있어야 합니다.
보안 위협이 언제든지 나타날 수 있으므로 보안 전문가는 해커가 시스템과 네트워크에 잠입하기 위해 사용하는 모든 최신 전술을 최신 상태로 유지해야 합니다. 웹 보안 전문가의 책임 중 일부는 다음과 같습니다.
- 웹 애플리케이션, 데이터베이스 및 암호화의 취약점을 찾습니다.
- 보안 문제를 수정하여 공격 완화
- 최상의 보안 사례를 보장하기 위해 정기적으로 감사를 수행합니다.
- 악성 공격을 방지하기 위해 엔드포인트 방지 및 탐지 도구 배포
- 클라우드 및 온프레미스의 자산 전반에 걸쳐 취약성 관리를 위한 시스템 구현
- 공격 발생 시 정리 처리
- 다른 IT 작업과 협력하여 재해 복구를 계획합니다.
- 팀 리더 및 HR과 협력하여 모든 직원이 의심스러운 활동을 감지하도록 교육합니다.
웹 애플리케이션을 보호하기 위한 몇 가지 보안 모범 사례
WAF(웹 애플리케이션 방화벽) 사용
WAF는 악성 HTTP 요청으로부터 웹 애플리케이션을 보호하는 데 도움이 됩니다. 공격자와 서버 사이에 장벽을 설치합니다. XSS, CSRF, SQL 주입 등과 같은 위협으로부터 계층 7을 보호할 수 있습니다.
DDoS 완화
이름에서 알 수 있듯이 애플리케이션 DDoS 및 네트워크 계층 공격을 완화하여 웹 사이트, 애플리케이션 및 서버 인프라를 보호하는 데 사용됩니다.
봇 🤖 필터링
나쁜 봇 트래픽을 필터링하기 위해 구현됩니다.
DNS 보호
이는 경로 내 공격 및 DNS 캐시 중독을 통해 DNS 요청이 하이재킹되지 않도록 보호하기 위해 수행됩니다.
HTTPS 사용
HTTPS는 로그인 자격 증명, 헤더 정보, 쿠키, 요청 데이터 등을 보호하기 위해 서버와 클라이언트 간에 교환되는 모든 데이터를 암호화합니다.
따라서 웹 애플리케이션 보안을 배우기로 결정했다면 다음 학습 리소스를 참조하여 기술을 연마할 수 있습니다 🧑💻.
포트스위거
다양한 사이버 보안 도구를 위한 최고의 플랫폼인 Burp Suite 제조업체로부터 배우십시오. 포트스위거. 사이버 보안 분야에서 경력을 향상시킬 수 있는 온라인 및 무료 교육입니다.
대화형 랩을 사용하면 언제 어디서나 학습하고 시간 경과에 따른 진행 상황을 추적할 수 있습니다. 비즈니스 로직 취약성, 정보 공개, 웹 캐시 중독, 비보안 역직렬화, SQL 주입, XSS, CSRF, XXE 주입 등에 대한 교육을 제공합니다.
PortSwigger의 학습 자료는 경험 많은 전문가, 연구 팀 및 설립자인 Dafydd Stuttard가 제작했습니다. 그는 Web Application Hacker’s Handbook이라는 유명한 책의 저자이기도 합니다.
튜토리얼은 요점을 쉽게 기억할 수 있도록 텍스트 및 비디오 콘텐츠에 포괄적으로 설명되어 있습니다. 그들의 인터랙티브 랩은 전체 과정을 흥미진진하게 만들고 해킹 기술을 테스트하기 위해 현실적인 퍼즐을 요구하는 곳입니다.
에드엑스
웹 보안 기초 에드엑스 기본 원리를 이해하는 데 좋습니다. 연극적으로나 실질적으로만 각각에 적합한 일반적인 공격 및 대응책에 대한 개요를 제공합니다.
또한 현재 웹 애플리케이션을 보호하는 데 널리 사용되는 최상의 보안 방법을 알려줍니다. 과정에 참여하려면 사전 보안 지식이 필요하지 않습니다. 하지만 그렇게 하면 HTTP, JavaScript, HTML 등과 같은 것을 더 잘 이해하는 데 많은 도움이 될 것입니다.
과정 기간은 주당 4-6시간을 포함하는 5주입니다. 배우는 것은 완전히 무료입니다. 그러나 원하는 경우 미화 48.97달러를 지불하면 기관 로고가 있는 확인되고 강사 서명 인증서를 얻을 수 있습니다. 이 인증서는 취업 가능성을 높이는 데 사용할 수 있으며 LinkedIn에서 공유하거나 이력서 또는 이력서에 통합할 수 있습니다.
스탠포드
CS 253 웹 보안 과정 스탠포드 완전한 웹 보안 요약을 제공하고 학생들이 일반적인 웹 공격과 이를 방지하는 방법을 이해하도록 하는 것을 목표로 합니다. 이 과정은 기본뿐만 아니라 웹 보안의 고급 경향도 다룹니다.
일부 주제는 다음과 같습니다.
- 웹 보안 원칙
- 공격 및 대응책
- 웹 애플리케이션 취약점
- 브라우저 보안 모델
- 주입, DoS 및 TLS 공격
- 지문, 개인 정보 보호, 동일 출처 정책, 인증, 교차 사이트 스크립팅, JavaScript 보안
- 심층 방어
- 새로운 위협
- 보안 코드 작성 기술, 보안 익스플로잇
- 진화하는 웹 표준 구현 및 취약한 웹 앱 방어
이 과정을 수강하려면 CS 142 또는 이와 동등한 웹 개발 경험이 있어야 합니다. 여기에서 출석은 필수이며 채점은 다음을 기준으로 합니다.
- 과제 75%
- 기말고사 25%
더 나은 준비를 위해 다음 솔루션을 읽을 수 있습니다. 2019년 기말고사 및 기타 샘플 질문 CS 253용.
초보자 친절
의심할 여지 없이, 유데미 다양한 과정을 온라인으로 공부할 수 있는 최고의 장소 중 하나입니다. 웹 애플리케이션 보안이 그 중 하나입니다. 코딩에 대한 사전 지식이 필요하지 않으므로 초보자인 경우 이 과정이 적합합니다.
이 과정에서는 다음을 배우게 됩니다.
- OWASP 또는 Open Web Application Security Project에서 탐지한 10대 위협 요소 식별
- 이러한 위협을 완화할 수 있는 방법 이해
- 각 위협이 비즈니스에 미치는 영향
- 공격자가 이러한 위협을 실행하는 방법
이 과정은 인터넷과 컴퓨터에 대한 정보가 거의 없는 모든 사람이 이해할 수 있도록 가장 쉬운 언어로 설명됩니다. 또한 심층 방어, 스푸핑에 대한 설명, 정보 공개, 변조, 부인, 권한 승격 및 DoS를 다룹니다.
숙련된 강사가 웹 보안의 기본을 마스터하는 데 필요한 모든 것을 가르쳐 드립니다.
코세라
목록에 있는 또 다른 아주 좋은 옵션은 코세라, OWASP ZAP 또는 Zed Attack Proxy를 사용하는 방법을 알려줍니다. 이 도구는 보안 전문가와 침투 테스터가 취약점을 찾는 데 도움이 됩니다.
- 그들은 취약점을 스캔하고 스캔 결과를 분석하고 보고서를 생성하는 방법 등을 가르칩니다.
- 또한 웹 사이트를 탐색하여 수동적으로 응답과 요청을 스캔하는 브라우저 프록시 구성을 배우게 됩니다.
- 웹 애플리케이션과 브라우저 사이에서 발생하는 웹 요청을 보고, 가로채고, 전달하고, 수정하는 방법에 대한 간략한 설명입니다.
- 또한 사전 목록을 활용하여 웹 서버에서 폴더와 파일을 찾는 방법을 배웁니다.
- 게다가, URL과 링크를 찾기 위해 사이트를 스파이더 크롤링하는 방법을 이해할 수 있습니다.
코스 강사는 분할 화면 비디오에서 각 주제를 단계별로 안내하며 클라우드에 있으므로 다운로드하는 데 시간을 낭비할 필요가 없습니다. Coursera는 추가 비용 없이 모든 프로그램에 포함된 인증서를 제공합니다.
PentesterLab
PentesterLab 기초부터 고급까지 다룹니다. 취약점을 수동으로 찾아 악용하는 방법을 알려줍니다. 그들의 모든 연습은 다양한 시스템에서 발견되는 일반적인 약점이나 문제를 다룹니다.
더 나은 학습을 위해 실제 시스템과 실제 취약성을 제공하므로 에뮬레이션 없이 실시간으로 학습할 수 있습니다. 그들의 온라인 연습을 통해 코스 완료 후 인증서를 얻을 수 있습니다. 모든 연습은 인증서를 사용하기 위해 완료할 수 있는 배지로 나뉩니다.
유튜브
유튜브 지식의 허브입니다. 올바른 방법으로 사용하기만 하면 됩니다!
따라서 YouTube에서 찾아볼 수 있는 505,000명의 구독자가 있는 Google Chrome 개발자라는 채널이 있습니다.
이 자습서에서는 몇 가지 일반적인 공격 벡터와 데이터, 사용자 및 평판을 보호하는 방법을 이해할 수 있습니다. 다음으로, 방어와 공격을 포함한 주제에 대한 간결한 강의와 실습을 제공하는 것을 목표로 하는 새로운 과정을 소개합니다.
모질라
최대 MDN 웹 문서 Mozilla에서 제공하고 웹 보안에 대한 유용한 기사에 액세스합니다. 여기에 나열된 기사는 콘텐츠 보안, 연결 보안, 데이터 보안, 정보 누출, 데이터 무결성, 클릭재킹 방지, 사용자 데이터 보안 등과 같은 다양한 주제를 다룹니다.
이 기사의 정보는 데이터 도난 및 공격으로부터 웹 사이트와 모든 코드를 보호하는 데 도움이 됩니다. 사이트 수정 방법, 혼합 콘텐츠 차단, 서명 알고리즘 등과 같은 흥미로운 것들을 배울 수 있습니다.
인빅티
의 포괄적인 기사 인빅티 웹 애플리케이션 보안의 핵심을 설명하는 데 적합합니다. 초보자도 웹 보안에 사용되는 용어와 기술을 이해할 수 있도록 훌륭하게 작성되었습니다.
이 기사에서는 웹 앱 보안의 신화와 기본 사항을 설명하고 오늘날 기업이 웹 사이트와 애플리케이션 보안을 강화하여 사이버 공격자를 막는 방법을 설명합니다.
여기에서 다음을 배우게 됩니다.
- 웹 애플리케이션을 보호하는 방법
- 올바른 취약점 스캐너 선택
- 무료 웹 취약점 스캐너와 상용 웹 취약점 스캐너의 차이점
- 취약점 스캐너를 테스트하는 방법과 사용 시기
- 웹 서버 및 기타 구성 요소를 보호하기 위한 몇 가지 모범 사례
SANS
이 과정을 수강하십시오 – SEC22 SANS 웹 애플리케이션 방어를 목표로 하는 경우. 웹 애플리케이션과 관련된 모든 보안 취약성을 이해하는 데 도움이 되어 웹 자산을 보호할 수 있습니다.
이 과정에서는 실제 방법과 함께 아키텍처, 인프라 및 코딩에 대한 완화 기술을 소개합니다. 이러한 취약점의 특성에 익숙해지면 이러한 취약점이 발생하는 이유와 완화 방법을 이해할 수 있습니다.
웹 애플리케이션의 관리, 구현 또는 방어를 담당하는 사람들에게 적합합니다. 여기에는 앱 보안 분석가, 설계자, 개발자, 감사, 펜 테스터 등이 포함될 수 있습니다.
이 과정은 다음과 같은 주제를 다룹니다.
- OWASP 베스트 10 위협
- CWE 상위 25개 소프트웨어 오류의 특정 문제
- 웹 앱에 클라우드 통합
- 앱 언어 구성
- 인프라 구성 및 보안 관리
- 인증 메커니즘
- HTTP 헤더
- 비즈니스 로직의 결함
- XSS, CSRF, SQL 주입 등과 같은 코딩 오류
JavaScript 및 HTML과 같은 웹 앱 개념 및 기술의 기본 사항을 이해하고 있다면 이 과정을 진행하는 것이 좋습니다.
클라우드플레어
이것은 목록의 다른 기사입니다. 클라우드플레어 웹 애플리케이션 보안에 대한 내용을 다룹니다.
정확히는 다음과 같이 설명합니다.
- 이 용어의 의미가 무엇인지,
- 몇 가지 일반적인 취약점, 그리고
- 웹 보안 취약점을 방지하기 위한 모범 사례
웹 애플리케이션 보안 프로그램에 등록할 때 많은 도움이 될 몇 가지 기본 개념을 명확히 하려면 이 기사를 읽으십시오.
결론
사이버 공격이 빠르게 증가함에 따라 웹 애플리케이션 보안을 배우는 것이 중요해졌습니다.
모두 제일 좋다!