HTTP 프로토콜의 특징

1.HTTP 프로토콜의 특징 

 a. Connectionless한 프로토콜

     i. 연결 상태를 유지하지 않는 프로토콜: TCP 연결설정 -> 요청/응답 -> TCP 연결 종료

        웹서비스는 다수의 클라이언트에게 서비스 해줘야 하는데 많은 수의 클라이언트 연결에 응답하기 위해서 

     ii. HTTP/1.1 이후 connection 설정에 keep-alive 속성이 추가, 일정 시간 연결상태를 유지한다. TCP 연결/종료에 대            해 부하를 줄이기 위해서 

keep alive 유지시간 보기

 b.  Stateless 프로토콜

   i. 클라이언트의 상태정보를 유지하지 않는 프로토콜

   ii. 동일한 클라이언트가 접속을 하고 연결이 끊어지고 나서 다시 접속을 해도 해당 클라이언트에 대한 어떠한 정보고        유지하지 않기 때문에 동일한 클라이언트 인지 식별하지 못한다. 

 

2. 웹 서비스 측면 

 a. 클라이언트의 상태정보를 유지해야할 필요가 있는 서비스가 존재

     i. 쇼핑몰 / 쇼핑카트

     ii. 로그인 이후 로그인한 상태정보가 유지

 b. HTTP 상에서 상태정보를 유지하기 위한 기술들이 등장 

     i. 클라이언트 측 기술: Cookie(쿠키) (Persistent Cookie)

       1) 클라이언트 상태를 유지할 정보를 cookie(작은 파일)에 담아서 클라이언트에 저장, 일정시간 또는 기간동안 유지

       2) 단점: 클라이언트에 저장, 위변조가 매우 쉽다. 

     ii.  서버측 기술 : Session(세션) (Session Cookie, Transient Cookie) - 브라우저가 떠 있는 동안만 유지 

       1) 유지할 정보를 세션(개별 클라이언트 상태정보를 저장하는 자료구조/서버, 세션ID를 통해서 식별)

       2) 세션쿠키를 이용, 메모리쿠키, 웹브라우저가 기동하는 동안에만 유지가 된다. 웹 브라우저가 종료하면 세션쿠키는 사라진다. 

       3) 단점: 세션 ID 탈취 -> Session Hijacking 

 

1. Web Proxy(대행자)

• Burp Suite (모의해킹할때 많이 씀)
• Fiddler (모의해킹할때 많이 씀)
• Paros(거의 사용 안함)

 

web proxy 동작 방식(정상)

요청 데이터를 변조하는 web proxy

Burp Suite를 사용해서 id값을 바꿈

http 요청 헤더 필드는 제대로 알고 가기