네트워크 해킹 - 18. URI 조작 공격

URI 조작 공격

- URI 조작은 WEB 구성을 위해 사용된 프로그램 명을 유추하는 것이다. 

* URL : Uniform Resource Location - 주소적 기능을 수행하는 영역으로

   "http://www.naver.com" 형식으로 표시 됨.

* URI : Uniform Resource Information - 파일 또는 게시글 번호 등 기능적 정보를 포함. 

   "http://192.168.4.146/board/board_list.asp" 

1.  게시글 수정 시 보기 프로그램의 이름을 변경

...modify.asp(php, jsp), update, change, edit 등등.

Modify, Mod, mod, Update, upd, Change, Ch, cha 등으로 추론 나열해 보는 추론 과정 필요.

2. 쓸 권한이 없는 게시판 접근 시 새글 작성

create, Create, Crea, make, Make, Mk, mk, write, Write WR, wr, new, New 등등

3. 남의 글을 삭제할 경우

delete, Delete, Del, erase, Erase, Era, remove, Remove, Rem, rm, RM, Rm 등등

4. get  /  post  /  had

get - rqust&replay, 아이디나 패스워드 묻지 않음, 페이지 조회만(마우스클릭=get)

post - 암묵적으로 인증및 모듈이 있어 묻지 않지만 답변을 받는 형식

        ex) 눈빛 교환, 텔레파시

        아이디나 패스워드를 물어봄.

5. URI 와 URL의 차이점은??

uniform resource location            : 조작X, 그냥 찾아갈 주소임

uniform resource information      : 조작O

- 어떤 프로그램을 사용했을지 유추(추론)하는 공격임

* 해커들은 프로그램 코드 보려고 홈페이지에 가입함

 - URI가 안보이면 프로그램 이름을 알아내기 힘들어짐

 - 그 홈페이지는 잘 만든 페이지임