💡 가상 호스팅 (Virtual Hosting) 심층 분석 및 웹 인프라 보안 실무 가이드 (Master Spec)📌 핵심 요약 (TL;DR)본질: 단일 물리적 웹 서버(IP)에서 여러 개의 독립적인 도메인 네임(웹사이트)을 호스팅할 수 있도록 지원하는 L7 애플리케이션 계층(HTTP Host 헤더) 및 TLS 확장(SNI) 기반의 라우팅 기술임.위협 및 목적: 공격자에게 VHost 환경은 서브도메인 열거(Fuzzing)를 통해 외부에 공개되지 않은 사내 관리자 페이지(admin.local)를 찾아내는 정찰의 표적이며, Host 헤더 인젝션을 통해 패스워드 재설정 포이즈닝이나 SSRF(서버 측 요청 위조)를 런타임에 사출하는 핵심 공격 벡터임.대응 방안: 웹 서버(Nginx/Apache) 설정 시 인..
1. Target Overview (머신 요약)Target Name: IgnitionOS: LinuxDifficulty: Tier 1 (Starting Point)Vulnerability: Virtual Host Routing (가상 호스팅 라우팅), Weak Admin Credentials (취약한 관리자 자격 증명)Attack Vector: /etc/hosts 도메인 매핑 ➔ 디렉토리 브루트포싱(Admin Panel) ➔ 약한 패스워드 대입 ➔ Magento Authenticated RCE (인증된 원격 코드 실행)2. 핵심 개념 총정리① 가상 호스팅(Virtual Hosting)과 Host 헤더단일 IP 주소와 단일 웹 서버 프로세스(Nginx, Apache 등)를 사용하여 여러 개의 웹사이트(도메..
1. Target Overview (머신 요약)Target Name: ThreeOS: LinuxDifficulty: Tier 1 (Starting Point)Vulnerability: AWS S3 Bucket Misconfiguration (S3 쓰기 권한 노출), Arbitrary File Upload (임의 파일 업로드)Attack Vector: 서브도메인 열거 ➔ S3 버킷 접속(AWS CLI) ➔ PHP 웹 쉘(Web Shell) 업로드 ➔ 원격 코드 실행(RCE)2. 핵심 개념 총정리① 가상 호스팅 및 /etc/hosts (Virtual Hosting)하나의 웹 서버(단일 IP)가 HTTP 요청 헤더의 Host 값을 식별하여 여러 개의 도메인 웹사이트를 동시에 서비스하는 아키텍처내부망이나 로컬 ..