서버 사이드 웹 공격 (Server-Side Web Attacks)
브라우저가 아닌 애플리케이션의 신뢰받는 백엔드 동작을 표적으로 삼는 서버 사이드 웹 공격에 대해 학습합니다. 이러한 취약점은 공격자가 서버를 조종하여 내부 리소스를 가져오거나, 악성 문서를 파싱하게 하거나, 위조된 인증 토큰을 신뢰하게 만들 수 있어 매우 위험합니다. 본 과정에서는 SSRF, XXE, JWT 조작의 원리를 배우고, 공격자들이 이를 연쇄적으로 활용하여 어떻게 서버 사이드 시스템을 심층적으로 침해하는지 알아봅니다.
왜 중요한가
서버 사이드 결함은 팀이 흔히 과도하게 신뢰하는 보안 가정들을 무너뜨립니다. 애플리케이션이 사용자를 대신하여 내부 서비스에 접근하거나, 안전하지 않은 파싱을 통해 로컬 파일을 읽거나, 위조된 토큰을 수락할 수 있다면, 공격자는 외부에서 보기에 안전해 보이던 네트워크 분할 및 접근 제어 계층을 우회할 수 있습니다.
본 과정은 영향력이 큰 공격 체인 (Attack Chains) 에 중점을 둡니다. 백엔드 요청을 강제하고, XML 파싱을 악용하며, JWT 를 검사 및 수정하고, 서버 사이드 취약점을 결합하여 비밀 정보를 추출하고 권한이 있는 사용자를 사칭하는 방법을 배우게 됩니다.
학습 내용
- SSRF 를 악용하여 내부 서비스 및 보호된 백엔드 리소스에 접근하기
- XXE 를 악용하여 로컬 파일을 읽고 민감한 서버 사이드 데이터 추출하기
- JWT 기반 인증 토큰을 디코딩, 분석 및 조작하기
- 토큰 신뢰 및 파서 (Parser) 동작이 어떻게 보안 공백을 만드는지 이해하기
- 서버 사이드 취약점을 연쇄적으로 활용하여 실제 권한 탈취 시나리오 구현하기
과정 로드맵
- 서버 사이드 요청 위조 (SSRF): 대상 서버가 직접 보낼 수 없는 요청을 강제로 수행하게 만들기
- XML 외부 엔티티 (XXE) 주입: 안전하지 않은 XML 파싱을 악용하여 민감한 로컬 데이터 읽기
- JWT 조작 기초: 토큰 구조를 분석하고 취약한 검증 또는 서명 처리 방식 악용하기
- 서버 사이드 익스플로잇 챌린지: 여러 취약점을 결합하여 비밀 정보를 복구하고 관리자 제어 권한 우회하기
수강 대상
- 기본적인 웹 취약점을 넘어 심층적인 서버 사이드 익스플로잇을 배우고자 하는 학습자
- 영향력이 큰 백엔드 공격 경로에 대한 실습이 필요한 보안 테스터
- 웹 애플리케이션 및 API 에서 신뢰 경계가 어떻게 무너지는지 이해하고자 하는 방어자
학습 성과
본 과정을 마치면 일반적인 서버 사이드 웹 취약점을 식별하고 악용할 수 있게 되며, 이러한 취약점이 왜 위험한지 설명하고, 이들이 결합하여 어떻게 심각한 애플리케이션 침해로 이어지는지 논리적으로 추론할 수 있게 됩니다.
