웹 서버측 기술

💡해당 내용은 pentestqym의 내용을 다시 한 번 정리한 내용이며,
   모든 저작권은 해당 사이트에게 있습니다.

 웹 애플리케이션이 동적 웹 컨텐츠를 서비스하기 위해 서버측에서 사용될 수 있는 웹 서버, 서버측 스크립트, 데이터베이스 등의 기술들에 대해 알아봅니다.

---

개요

 서버 측(Server-Side) 기술이란 클라이언트-서버 모델^[각주:1]에서 클라이언트, 일반적으로는 사용자의 웹 브라우저에서 실행되는 기술을 말합니다

 서버측 기술은 웹 애플리케이션의 구현을 위해 사용되는 서버사이드 스크립팅 언어(Ex. PHP), 데이터베이스 관리 시스템(Ex. MySQL), 웹 서버 소프트웨어(Ex. Apache) 등을 의미합니다. 이러한 기술은 웹 페이지를 동적으로 생성하고 데이터를 처리하는 역할을 수행하여 사용자에게 맞춤형 콘텐츠를 제공합니다.

 

 이러한 목적은 기술의 발전으로 있는 파일(Ex. DOM)을 단순히 보여주는것에 그치는 정적인 웹에서 동적으로 작업하기 위한 기술의 발전이라고 할 수 있겠습니다.

---

서버 측 동작

1. 웹 브라우저 → 서버 HTTP 요청
2. 수신된 요청은 웹 서버(WAS)에 받아 전송받은 데이터를 Server-Side Script에 전달
   - Nginx, Apache, JBoss 등이 사용됨
3. 받은 데이터를 매개변수로 하여 DB 등의 데이터 저장소로 질의를 보냄
   - PHP, Pytho 등이 사용됨
   
   
4. DB에서 전달된 변수를 통해 질의 조건을 충족한 레코드셋^[각주:2]으로  반환
   - 주로 Mysql, MSsql, Oracle, Postgresql 등이 사용됨
5. 다시 Server-side Script에 HTML Template에 DB에서 추출된 데이터를 배치함
6. 서버측 스크립트는 마지막으로 최종 페이지를 웹 서버(WAS)에 반환
   
   
7. 최종 페이지를 HTTP 통신을 통해 웹 브라우저에 응답

---

Web Server(WAS)

 웹 서버는 HTTP 요청에 대한 응답을 제공하는 소프트웨어입니다. 원래는 정적 컨텐츠를 제공하는 용어로 사용되지만, 현대적으로는 동적 컨텐츠를 생성하는 기능도 포함할 수 있습니다. 웹 서버와 WAS(Web Application Server)는 개념적으로 구분되지만, 현재는 두 기능이 혼동되어 사용하는 경우가 많습니다. 따라서 웹 서버와 WAS의 역할은 상황에 따라 구별되지는 않는다는 점!.

---

WAS 서버 종류들

Apache HTTP Server

 오픈소스 웹 서버에서 가장 많이 사용되며, MPM(Multi-Processing Module)^[각주:3]을 이용한 모듈식 구성을 지원하므로 확장성이 매우 뛰어난 것이 장점

크로스 플랫폼^[각주:4]을 지원하고 확장성이 뛰어나며 정적과 동적 웹 컨텐츠를 처리할 수 있습니다. APM(APache Module) 스택에는 Apache, PHP, MySQL(또는 MariaDB)가 포함되어 있으며, LAMP, WAMP 등으로 불리기도 합니다.

 

NGINX

Apache HTTP 서버의 대안으로 주목받고 있는 오픈소스 웹 서버 소프트웨어

  Apache HTTP 서버의 한계를 극복(C10K 문제^[각주:5])하기 위해 개발하였으며, 더 적은 리소스로 더 많은 동시 연결을 처리할 수 있고 빠른 성장을 이루었습니다. NGINX는 동적 웹 컨텐츠 처리를 위해 다른 프로그램과 함께 사용되며, 시장에서의 점유율이 꾸준히 증가하고 있습니다.

Historical quarterly trends in the usage statistics of web servers, July 2023

 

 그 이외에도 Google Web Server, IIS, Apache Tomcat 등 많이 있지만, 대충 어떤 서비스인지만 알아보는 것이기에 넘어가겠습니다. 필요에 따라 공부하시다보면 금방 특징을 알 수 있을겁니다.

---

서버측 스크립트

 웹 애플리케이션의 동적 기능을 구현하는 코드로, 서버에서 실행되며 데이터베이스에 접근하거나 사용자 요청에 따른 처리를 수행합니다. 로그인, 온라인 쇼핑몰, 이메일 등 다양한 기능을 구현하는 웹 애플리케이션에서 사용됩니다.

 즉, 서버측 스크립트는 웹 애플리케이션의 동적 기능을 담당하는 코드로, 데이터베이스 접근과 사용자 요청 처리 등을 수행합니다.

 

 서버측 스크립트는 서버에서만 실행되고, 사용자는 해당 소스코드를 볼 수 없습니다. 반면 클라이언트측 스크립트인 자바스크립트는 웹 브라우저에서 실행되며, 소스코드가 로컬PC에 저장되어 사용자가 확인할 수 있습니다. 서버측 스크립팅 언어는 서버측에서 동적 웹 애플리케이션을 구현하기 위해 사용되며, 주로 사용되는 언어는 서적이나 전문 교육을 통해 학습하는 것을 추천합니다(요청하시면 정리해서 올려드리겠습니다.. 아마도)

---

PHP

오픈소스 서버측 스크립팅 언어로서 정적 및 동적 웹 사이트 및 애플리케이션을 개발하는 데 사용

  PHP로 개발된 웹 애플리케이션은 소규모부터 대규모까지 다양하며, 페이스북과 같은 대형 애플리케이션도 PHP로 개발되었습니다. PHP를 활용한 웹 애플리케이션 개발을 위해 다양한 상용 솔루션이 제공되고 있습니다.

• 블로그 - Wordpress, Joomla
• 게시판 - PHPBB, vBulletin
• 전자상거래, 쇼핑 카트 - Prestashop, OpenCart
• 관리자 패널 - PHPMyAdmin

또한 웹 개발 프레임워크로는 대표적으로 다음 두 가지가 있습니다.

• Laravel(라라벨)
• CodeIgniter(코드이그나이터)

PHP는 HTML 파일에 쉽게 삽입할 수 있으며, 다음과 같이 <?php ... ?>로 둘러싸인 스크립트 실행 영역을 삽입하여 구현합니다.

<html>
<head>
  <title>PHP 간단 예제</title>
</head>
<body>
  <?php echo "Hello, hunters!" ?>
</body>
</html>

PHP에 대한 추가적인 설명은 여기로!

 

JSP(Jakarta Server Page or Java Server Page)

자바 기반의 동적 웹 애플리케이션을 개발하기 위한 서버측 스크립팅 언어

 JSP(자바 서플릿^[각주:6])는 서블릿 컨테이너^[각주:7]가 지원되는 웹 애플리케이션 서버에서 실행됩니다. JSP는 내부적으로 서블릿으로 컴파일되어 기능을 수행하고, 결과는 HTML Template과 결합하여 최종적으로 웹 브라우저에 응답으로 전달됩니다.

 

자바의 특징은 전부 있다고 생각하시면 됩니다. JSP도 PHP와 유사한 구동으로 아래처럼 사용할 수 있습니다.

• 지시문(Directive): 컨테이너가 JSP 페이지 처리를 위해 필요한 속성과 값들을 정의함

<%@ directive-name
  attribute1="value1"
  attribute2="value2"
  ...
  attributeN="valueN" 
%>

• 표현식(Expression): 어떤 값을 출력하거나 메소드를 호출할 때 사용됨

<%= Some-expression %>

• 선언문(Declaration): 변수나 메소드를 선언할 때 사용됨

<%! Dec var %>

• 스크립틀릿(Scriptlet): 자바 코드를 실행할 때 사용됨

<% Some-java-code %>

다음은 임의의 숫자가 100보다 크 퇴근, 이하면 남는 복불복게임 예제입니다.

<html>
<head>
  <title>JSP 간단 예제</title></head><body>
  <%
    double num = Math.random(); // 스크립틀릿을 이용해 if-else 자바 코드를 실행함.
    if (num > 100) {
  %>
      <h2>축하합니다. 얼른 퇴근하세요!</h2><p>(<%= num %>)</p> // 표현식을 이용해 num 값을 출력함.
  <%
    } else {
  %>
      <h2>저런~ 당신이 해야할 일이 있어요.</h2><p>(<%= num %>)</p> // 표현식을 이용해 num 값을 출력함.
  <%
    }
  %>
  <a href="<%= request.getRequestURI() %>"> // 표현식을 이용해 getRequestURI() 메소드를 호출함.
    <h3>다시 해볼까요?</h3>
  </a>
</body>
</html>

더 자세한 공부는 여기로!(JSP는.. 자료가 애매해서 안 올렸어요)

 

그 이외에도 Python, Ruby, ASP.NET 등이 있으나 대표적인 프레임워크들이기도 하고 특징만 설명하기에 넘어가겠습니다.

---

데이터베이스(DB)

웹 애플리케이션에서 데이터를 생성, 저장, 관리하는 데 사용되는 기술

 DB는 구조화된 형식으로 데이터를 저장하며, 필요할 때 쉽게 CRUD(생성, 검색, 수정, 삭제)할 수 있습니다. 데이터베이스는 웹 애플리케이션의 중요한 구성 요소로서 다양한 유형과 모델이 있습니다. 가장 일반적인 데이터베이스 관리 시스템(DBMS)에 대해 특징과 함께 알아봅시다.

---

관계형 데이터베이스(RDB; Relational DataBase)

  데이터를 테이블 형태로 구성하여 관계를 형성하는 기술로, 대부분의 DB는 RDB라고 생각하시면 됩니다. 특히 데이터를 Key와 Vaule의 쌍으로 이루어진 행과 열로 구성된 테이블에 저장합니다. 테이블 간의 관계를 설정하여 데이터의 종속성과 제약을 표현할 수 있습니다.

 

RDB는 데이터베이스의 대표적인 형태로, 엑셀과 유사한 스프레드시트 형태로 데이터를 구성합니다.

 이를 관리하는 시스템이 또 필요하겠습니다. 이를 DBMS(DataBase Management System)라는 관계형 데이터베이스를 관리하기 위한 소프트웨어로, DB의 CRUD을 수행할 수 있습니다.

 

 DBMS는 SQL(Structured Query Language)을 사용하여 데이터 조작을 처리합니다. SQL은 데이터베이스 관련 작업에 사용되는 언어로, 웹 해킹에서는 SQL 인젝션 공격에 활용될 수 있습니다.

 

SQL은 크게 다음의 세 가지 종류로 나뉘어집니다.

• DDL (Data Definition Language, 데이터 정의 언어)
  : CREATE, DROP, ALTER 등의 테이블과 인덱스를 관리하기 위한 구문

CREATE TABLE employees (
  id INT PRIMARY KEY,
  name VARCHAR(50),
  age INT,
  department VARCHAR(50)
);

• DML (Data Manipulation Language, 데이터 조작 언어)
  : INSERT, UPDATE, DELETE, SELECT 등 테이블에서 데이터를 조작, 검색하기 위한 구문

INSERT INTO employees (id, name, age, department)
VALUES (1, 'John Doe', 30, 'IT');

• DCL (Data Control Language, 데이터 제어 언어)
  : GRANT, REVOKE, COMMIT, ROLLBACK 등 데이터에 대한 접근을 제어하기 위한 구문

GRANT SELECT, INSERT ON employees TO user1;

---

비관계형 데이터베이스(NoSQL)

 앞에서 살펴본 RDB는 행과 열로 정형화된 DB를 관리하기 위함이였습니다. 하지만 기술의 발전으로 이미지, 영상 정형화되지 않는 데이터 즉, 비정형화된 데이터를 관리하기 위해 만들어졌습니다.

No SQL 비관계형 데이터베이스

관계형 데이터베이스보다 유연하고 확장성이 높은 데이터 저장 및 관리 솔루션

 NoSQL 데이터베이스는 정형화되지 않은 비정형 데이터를 처리하고 대용량 데이터를 확장 가능하게 저장하는 데 적합합니다. NoSQL은 다양한 모델을 제공하며, 키-값 스토어, 문서 스토어, 열 지향 스토어, 그래프 데이터베이스 등의 유형이 있습니다. NoSQL은 웹 애플리케이션, 소셜 미디어, 로그 분석, 사물 인터넷 등 다양한 분야에서 활발히 사용되고 있습니다.

 

여기엔 크게 4가지의 종류가 있으며, 추후 또 활용된 예시로 이해할 수 있으므로 이런게 있구나 넘어가셔도 됩니다.

---

Key-Value 모델

단순한 키와 값의 쌍으로 데이터를 저장하는 구조

 값을 이용하여 접근이 불가능한다는 특징을 가지고 있습니다. 또한 String, Bitmaps, Hash, Lists 등의 다양한 형태의 데이터로 저장할 수 있습니다.

---

Document 모델

JSON 또는 BSON^[각주:8] 형태의 문서 형태로 데이터를 저장하는 모델입니다. MongoDB가 바로 이 모델을 사용합니다.

---

Column-family 모델

 하나의 Row Key에 매핑되는 다수의 Column-value 쌍의 모음으로 데이터를 저장하는 모델입니다. 대표적인 DBMS로는 Casandra, Hbase 등이 있습니다.(RDB랑 비슷한 느낌이죠?)

---

Graph 모델

 노드,  엣지, 프로퍼티를 사용해 그래프의 형태로 데이터를 저장하는 모델입니다. 아래의 그림에서 각 노드를 잇는 선은 노드간의 관계를 정의한 것입니다. 사실 집합 지향이라기 보다는 관계형 모델에 가깝습니다. 대표적인 DBMS로는AllegroGraph, Amazon Neptune 등이 있습니다.

---

참고 자료

 

참고 이미지

 

 

1. 클라이언트측에서는 서버에서 응답받은 HTML, CSS를 파싱하여 웹 브라우저 화면에 그리고, 자바스크립트를 해석하여 사용자단의 동적 기능을 수행합니다. [본문으로]
2. 레코드셋은 데이터베이스에서 쿼리를 실행한 결과로 반환되는 데이터의 집합을 의미 [본문으로]
3. 여러 운영체제 또는 플랫폼에서 동일한 소프트웨어가 실행될 수 있는 능력 [본문으로]
4. 여러 운영체제 또는 플랫폼에서 동일한 소프트웨어가 실행될 수 있는 능력 [본문으로]
5. 그 당시의 문제점으로 Linux의 OS 문제점이라고 생각하면 되며, OS에서 제공하는 I/O 처리방식의 문제때문에 프로세스가 제대로 처리 X의 문제점 즉, 동시에 10000이상 접속이 어려움 [본문으로]
6. 자바를 사용하여 웹페이지를 동적으로 생성하는 서버측 프로그램 혹은 그 사양 [본문으로]
7. 웹 애플리케이션을 실행하고 관리하는 환경을 제공하는 소프트웨어입니다. HTTP 프로토콜을 통해 클라 요청을 처리, 서블릿과 JSP와 같은 서버측 스크립트를 실행하여 동적 웹 컨텐츠를 생성(세션 관리, 보안, 스레드 관리 등의 기능을 제공) [본문으로]
8. binary로 인코딩되어 있는 JSON이며,  BSON은 기계어로 변환된 값이기 때문에 사람이 읽기 위해서는 변환하는 과정, 즉 디코딩 과정이 필요합니다. [본문으로]