[네트워크] 웹 서비스 기본 1

 

 

 

 

 

 

웹 서비스 구성

 

 

 

1. 웹 서비스 기본요소

 

 

• 1 티어 -> (웹 + Was + DB)
• 2 티어 -> (웹 + Was) + DB   => 가장 많이 쓰는 방법
• 3 티어 -> (웹) + (어플리케이션) + (DB)

 

 

정규화 과정은 왜 할까?

 

--> 중복 테이블이나 데이터를 없애 컬럼 하나로 모으는 것이 목적

 

 

 

 

일반적인 웹 어플리케이션은 주로 3계층으로 구축

 

• 1계층 = 웹 브라우저
• 2계층 = 동적 웹 컨텐츠 기술과 같은 엔진
• 3계층 = 데이터 베이스

 

 

 

 

 

 

 

 

 

Web Client  <----->  방화벽 <----->  Web Server, Web App Server

 

•  HTTP Request : cleartext 또는 SSL
•  HTTP Response : HTML, JS, VBScript....

 

 

 

Web Server, Web App Server

 

• Web Server : 아파치, IIS, I planet
• WAS : 톰캣, 웹스피어, Jeus, Weblogic

 

 

 

Web Server, Web App Server  <----->   Web App

 

• web app : 플러그인 --> jsp, php, Perl, C, C++

 

 

 

Web App  <----->   DB

 

• DB : 오라클, My SQL, MS SQL, Sybase

 

 

 

 

 

 

 

 

 

---

 

 

 

 

2. 웹 응용프로그램 공격

 

 

 

 

 

 

 

 

 

Web Client

 

• Cross Site Scripting
• 주석을 통한 민감 정보 노출 --> 개발환경에서 상세한 주석은 괜찮지만 release환경으로 이관할때는
                                            주석과 testcode들을 제거해주어야 합니다.

 

 

 

 

 

Web Server, WAS

 

 

• 백업, 임시 파일 존재
• 민감한 파일 존재
• 디렉터리 인덱싱
• 부적절한 오류 처리
           404 : 파일 없음
           403 : 파일 권한 없음
           500 : 내부에러
     
• 불필요한 Method 지원
• 관리자 페이지 노출

 

 

 

Web App

 

• SQL Injection
• 업로드 파일 제한 부재
• 코드 실행
• 디렉터리 이동
• Cookie를 이용한 인증
• 사용자 인증 부재
• 소스 코드 노출

 

 

 

 

DB

 

• SQL Injection