SECURITY · CH4

HTTP 요청 구조

HTTP 요청은 시작줄, 헤더, 빈 줄, 본문으로 나뉘며 각 위치가 웹 보안 분석의 단서가 됩니다.

HTTP 요청 구조 구성 요소

요청 구조
Start LineGET /path HTTP/1.1처럼 메서드, 경로, 버전을 담습니다.
HeadersHost, Cookie, User-Agent, Authorization 같은 부가 정보를 담습니다.
Blank Line헤더와 본문을 구분하는 경계입니다.
BodyPOST/PUT 요청에서 폼, JSON, 파일 같은 데이터를 담습니다.

HTTP 요청 구조 처리 순서

요청 처리
Start line메서드·경로
Headers상태 정보
Body사용자 입력
보안 관점

SQLi, XSS, 인증 우회는 요청의 어느 위치에서 입력이 들어오는지부터 확인해야 합니다. 

POST /login HTTP/1.1
Host: example.com
Cookie: sid=...

{ "id": "admin" }