웹 펜테스팅 초보자 로드맵 (2026): Recon부터 서버 측 공격까지

Source: Dev.to

Hacksmarter Web Pentesting 과정을 마친 뒤, 이 방법론을 하나의 진리 원천으로 정리하고 싶었습니다. 버그 바운티를 준비하든, 직접 만든 앱을 보호하든, 이게 바로 여러분이 필요로 하는 사고 체계입니다.

1. Reconnaissance (기초)

Pro‑Tip

• 무거운 스캔을 실행하기 전에 항상 robots.txt와 sitemap.xml을 확인하세요. 개발자들이 “숨겨” 놓은 것이 눈에 띄는 경우가 많습니다.

Fingerprinting

• curl, Burp/​Caido, 혹은 Wappalyzer 확장 프로그램을 사용해 기술 스택을 식별합니다.

Directory Brute Forcing

• 도구: dirsearch, dirb, 또는 gobuster를 이용해 숨겨진 엔드포인트를 찾습니다.

Subdomains & Vhosts

• FFUF(맞춤 스크립트와 함께)와 gobuster를 사용합니다.

Business Logic Prep

• 직접 사용자가 되어 보세요! 사이트 기능을 맵핑합니다. 일반 사용자가 할 수 있는 일과 관리자가 할 수 있는 일을 구분합니다.

OSINT

• Google dorks, Shodan, 그리고 포트 스캔을 위한 Nmap을 활용합니다.

2. Authentication Assessment

• Credential Attacks: 약한 비밀번호와 credential stuffing을 테스트합니다.
• MFA Bypass: URL이나 응답을 조작해 2FA 단계를 건너뛰려 시도합니다.
• Password Resets: 예측 가능한 토큰이나 리셋 링크에 대한 Host Header Injection을 찾습니다.
• OAuth: 잘못 구성된 redirect URI가 있는지 확인합니다.

3. Session Management

• Cookie Security: HttpOnly와 Secure 플래그가 설정되어 있는지 확인합니다.
• Session Fixation: 로그인 후 세션 ID가 변경되는지 검증합니다(같은 ID가 유지되면 안 됩니다).
• JWT (JSON Web Tokens): 약한 비밀키나 악명 높은 alg: none 취약점을 테스트합니다.

4. Authorization (The “Permission” Gap)

• IDOR (Insecure Direct Object Reference): id=123을 id=124로 바꿔 다른 사용자의 데이터를 확인합니다.
• Broken Access Control: 게스트 상태에서 /admin에 접근을 시도합니다.
• Mass Assignment: 프로필 업데이트 JSON 페이로드에 "is_admin": true를 추가해 봅니다.

5. Client‑Side Vulnerabilities

• XSS: Reflected, stored, 그리고 DOM‑based 공격을 검토합니다.
• CSRF: 사용자의 동의 없이 행동을 강제하는 경우(예: 이메일 변경)를 탐색합니다.
• Other Issues: 오픈 리다이렉트, CORS 오설정, HTML 인젝션, 클릭재킹 등을 포함합니다.

6. Server‑Side Vulnerabilities

• Injections: SQLi와 NoSQLi.
• SSRF: 서버가 내부 메타데이터 서비스(AWS/GCP 등)로 요청을 보내게 합니다.
• File Uploads: 필터를 우회해 웹 쉘(PHP/JSP)을 업로드합니다.
• Execution & Traversal: 경로 탐색, SSTI(템플릿 인젝션), 그리고 OS 명령어 인젝션.