로드맵이랑 똑같은데?

안녕하세요 웹해킹을 하고 있는 중인데 이해하기 너무 힘들어서요... 혹시 필수적으로 알아야 할 언어들 알려주실 수 있나요?

안녕하세요! 요즘 시스템 해킹을 공부하다가 웹 해킹을 공부하지 적성에도 맞고 너무 재미있어서 나중에 dreamhack ctf같은 걸 좀 나가보고 싶은데.. 혹시 web hacking 분야에선 어떤 문제가 나오나요??

웹 해킹 로드맵을 하는 데, 필요한 선수 지식이 있나요?? 감사합니다

로드맵 강의 인트로에 보면 Spring이든 Node.js든 flask든 하나의 프레임 워크는 소스코드를 읽을 줄 알아야 된다, 책이나 온라인에 공개된 강의등을 통해 기초적인 웹 서비스 하나 구현해 보라고 되어있는데, 가장 흔하고 기초가되는 Spring으로 crud 게시판 하나 정도 구현 해보려고 생각했는데 이거로는 이 로드맵 따라가는데 혹시 좀 부족할까요? JAVA언어 베이스는 있는데 웹 서비스를 만들어 본 적은 없고 자스도 공부 안 한 상태에사 따라가 보다가 한계를 느끼고 CRUD 하나 정도 구현해서 베이스 지식 만들까 생각해서 말입니다.

죽는줄 알았지만 그만큼 집중을 해서그런지 웹에 대해서는 빠삭하게 알것같네요 ㅎㅎ 초딩도 이해하는 이번강의는 진짜 좋아요

1. connectionless 속성은 응답을 한 후에 끊어버리는 것, 그러니깐 로그인을 하고 일정시간이 지나면 로그아웃이 되는거고 stateless 속성은 네트워크 끊기면 강제 로그아웃 2. 사용자가 서버에 로그인 할 때, **쿠키가 "이름=드림이" 라는 형태로** 웹 브라우저에 저장되고 그 쿠키는 사용자의 이름과 비밀번호가 담겨 있어 이 쿠키만 있으면 로그인 없이 서버에 접속이 가능하다 3. 사용자가 서버에 처음 로그인 하면, **서버에서 랜덤으로 세션, ticket=98b96a 을 발부**하고, **그 티켓은 서버에 저장되고, 사용자의 쿠키로도 저장**된다. 이후 사용자가 다시 로그인할 때 쿠키에 저장된 티켓을 통해, 서버가 "ticket=98b96a의 이용자는 드림이"를 알려준다 4. 서버가 "ticket=98b96a의 이용자는 드림이" 를 기억하고 사용자는 쿠키로 저장된 세션(티켓)을 통해 로그인 페이지를 접속이 가능하다 5. 외부 침입자는 세션을 유추할 수 없으나, 세션도 쿠키로 저장되어서 침입이 가능...하다?? 세션이 어떻게 작동하는지 헷갈리네요 어디서 잘못됬는지 지적해주시면 감사하겠습니다, 긴 글 답해주셔서, 감사합니다ㅠㅠ

웹 서버 어플리케이션에 대해 잘 이해가 안됩니다

Request GET /index.html HTTP/1.1 Host: dreamhack.io Connection: keep-alive User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36 Response HTTP/1.1 200 OK Server: Apache/2.4.29 (Ubuntu) Content-Length: 61 Connection: Keep-Alive Content-Type: text/html <!doctype html> <html> <head> </head> <body> </body> </html> 웹페이지에서 이런거를 보려면 어떻게 해야하나요? 다운로드 해야하는것이 있나요?

2 - 14의 마지막에 "오른쪽 탭에 있는 모듈을 활용해 서버의 세션 저장소에 admin 인증 정보를 담고 있는 키를 갖고와 value 에 넣어봅니다." 라고 쓰여있는데 어떻게 하는지 모르겠습니다.

보안쪽으로 관심이 있고 웹해킹을 배우고 싶은데 그전에 프로그래밍 언어를 공부하고 웹해킹 강의를 수강해야하나요 ?

`이름=드림이` (cookie) 는 가로챌 수 있는데 `ticket=98b96a` 는 못가로채나요? cookie만 있을 때 위험한 게 cookie가 탈취된 상황이라면, serverside의 session에 대응되는 key가 cookie에 저장되면 session이 프로세스에 추가되어도 보안이 더 강화된 게 아니지 않나요? 제가 어떤 점을 놓치고 있는 것 같아요.

`session` 에 관한 설명이 아직 나오지 않은 것 같은데 `session`이 강의 자료에 언급되어있어요.

첫 http request한 client-side 서버가 암호화된 세션을 가지게된다고 되어있는데 제 생각에는 처음 가입할때 POST/PUT request를 하니까 무조건 실제유저가 세션을 가질 것 같아요. 그럼에도 불구하고 공격자가 중간에 개입해서 세션을 대신 받을 수도 있나요? 그리고 암호화된 세션이 서버 내 변경 이외에 바뀌는 경우도 존재하나요? 미리 감사합니다.

Cookie는 보통 hash값으로 변환안하고 데이터 그대로 포함시키나요?

Session id를 client가 이용하기 위해서는 최소 2 차례의 HTTP통신이 필요한 가요? 최초 로그인 시, 유저 데이터가 DB에 저장되는데 반해 서버에 저장되는 session은 다음 통신에서 id가 생성되는 것으로 나와 있네요.

이걸 보고도 이해를 못하겠습니다,,, 그니까 글로 된 글은 이해가 가능한데 ,, 점 점 가면 갈수록 이해를 못하겠습니다 혹시 미리 어느정도 공부를 하고 봐야하나요? 처음에는 잘 이해했는데 후반에는 아예 이해를 못했습니다

br뜻이 뭔가요? 슬래시는 왜 들어가는 건가요?

자바를 가장 먼저 배우는게 좋을까요?

Microsoft 에서 1월에 Chromium 기반의 Edge 를 정식 공개한 것으로 알고 있습니다. 따라서 p3 의 Table에 Edge의 Javascript와 HTML/CSS엔진을 V8와 Blink로 수정하거나 병기하는 것이 정확하지 않을까요?

URL이랑 도메인의 차이점은 먼가요?? 여기 적힌 설명만으론 잘 모르겠어요 ㅠㅠ

제가 공부하고싶어서 이 사이트를 찾아서 왔는데 이거를 보고 어떤 방식으로 어떻게 보면서 공부해야 하는지 잘모르겠어서요... 그래서 뭐 부터 해야하는지 알려주실수 있난여 ?

Response 헤더에 대한 내용은 없나요?

감사합니다

다른 문제가 ~입니다. 라 끝나는데 해당 문제만 기본 HTTP 포트 번호는 ~이고 HTTPS 포트 번호는 ~이다. 라고 되어있습니다.

HTTP의 2번째 문단인 [___]는 서버에 추가 정보를 전달하는 데이터 부분입니다. 사용자가 입력한 데이터를 전달하기 위한 부분보다는 사용자와 서버가 상호작용하기 위한 정보를 담는 부분으로 사용됩니다. 이 부분에서 http method가 http mehtod로 되어있어요.

Method에 OPTIONS 설명인데 "특정 리소스에서 '대해' 허용된 메소드의 목록을 반환합니다." 이 부분이 어색하게 느껴집니다.

ex) file://example.com:812/path1?seasrch=1#abdcs

# 감 ## 사 ### 합 #### 니 ##### 다!

-

내용

# 와 마크 다운! ```python import os ``` 와..!