728x90
X-Requested-With 헤더란
- X-Requested-With 헤더는 주로 웹 애플리케이션에서 AJAX (Asynchronous JavaScript and XML) 요청임을 서버에 알리기 위해 사용
- 즉, 이 헤더가 포함된 요청은 일반적인 웹페이지 전체를 불러오는 것이 아니라, 페이지의 특정 부분만 동적으로 업데이트하기 위해 전송되었음을 의미
- 활용예시: 사용자가 웹사이트의 '더 보기' 버튼을 클릭하거나, 스크롤을 내려 새로운 콘텐츠(예: 뉴스 기사, 상품 목록)를 로드
AJAX 정상적인 통신 흐름 예시
아래는 X-Requested-With: XMLHttpRequest 헤더가 정상적으로 사용되는 대표적인 시나리오입니다.
1. 사용자 행동: 사용자가 웹사이트의 '더보기' 버튼을 클릭하거나, 스크롤을 내려 새로운 콘텐츠(예: 뉴스 기사, 상품 목록)를 로드하려고 합니다.
2. 클라이언트 요청 (JavaScript):HTTP
- 사용자의 브라우저에 내장된 JavaScript 코드가 실행됩니다.
- 이 코드는 서버로 비동기 HTTP 요청을 생성합니다. 이때, 요청 헤더에 X-Requested-With: XMLHttpRequest를 포함시킵니다.
- 이 헤더는 "이 요청은 웹페이지 전체를 새로고침하려는 것이 아니라, JavaScript에 의해 생성된 비동기 요청입니다"라는 것을 서버에 알려주는 깃발 역할을 합니다.클라이언트 요청 (JavaScript):HTTP
- 요청 헤더 예시:
GET /api/articles?page=2 HTTP/1.1 Host: example.com X-Requested-With: XMLHttpRequest Content-Type: application/json
3. 서버 응답: JSON
- 서버는 X-Requested-with 헤더를 보고 이 요청이 AJAX 요청임을 인지합니다.
- 따라서 완전한 HTML 페이지 전체를 보내는 대신, 요청에 필요한 데이터만 간결한 형태(주로 JSON 또는 XML)로 응답합니다.
- 만약 이 헤더가 없다면, 서버는 일반적인 페이지 요청으로 오인하여 불필요한 전체 HTML 코드를 보낼 수도 있습니다.
- 응답 본문 예시 (JSON):
{ "articles": [ {"title": "새로운 기사 1", "author": "김기자"}, {"title": "새로운 기사 2", "author": "이기자"} ] }
4. 클라이언트 처리 (JavaScript):
- 브라우저는 서버로부터 받은 JSON 데이터를 파싱 합니다.
- JavaScript는 이 데이터를 사용하여 현재 페이지의 HTML 구조(DOM)를 동적으로 변경하여 새로운 콘텐츠를 사용자에게 보여줍니다. 이 과정에서 페이지 새로고침은 발생하지 않습니다.
정탐/악성 판단을 위한 핵심 체크리스트
1. 헤더 값 자체의 형태
- ✅ 정상 (정탐): 헤더 값이 거의 항상 XMLHttpRequest라는 표준적인 문자열입니다. 이는 jQuery, Axios 등 대부분의 표준 라이브러리가 자동으로 붙여주는 값입니다.
GET /api/posts/next?current=123 HTTP/1.1 Host: my-blog.com X-Requested-With: XMLHttpRequest Accept: application/json - ❌ 비정상 (악성 의심): F5 문서의 WireX 악성코드처럼, 값이 asdfg, 12345 등 의미 없는 무작위 문자열이거나 아예 비어있다면, 이는 정상적인 라이브러리를 통해 생성된 요청이 아닐 가능성이 매우 높습니다.
GET /?query=attack HTTP/1.1 Host: target-server.com X-Requested-With: asjdfk234 User-Agent: Mozilla/5.0
2. 요청에 담긴 데이터 (Payload)의 내용
- ✅ 정상 (정탐): 요청에 담긴 데이터가 서비스의 기능에 부합합니다. 예를 들어, '2페이지 더 보기' 요청에 {"page": 2} 와 같이 예상 가능한 정상적인 값이 들어있습니다.
POST /api/search HTTP/1.1 Host: nice-shop.com X-Requested-With: XMLHttpRequest Content-Type: application/json {"query": "노트북", "page": 2, "sort": "price_asc"} - ❌ 비정상 (악성 의심): 데이터가 비정상적이거나 공격 시도로 보입니다.
- 수량 조작: {"quantity": -99} 처럼 논리적으로 말이 안 되는 값
- SQL 인젝션: {"id": "1' OR '1'='1"} 과 같은 공격 구문
- 데이터 부재: 데이터를 보내야 하는 요청인데 아무 데이터도 없는 경우
POST /api/v1/login HTTP/1.1 Host: insecure-bank.com X-Requested-With: XMLHttpRequest Content-Type: application/json {"user_id": "admin' OR '1'='1", "password": "password"}
3. 트래픽의 행동 패턴
- ✅ 정상 (정탐): 사용자의 행동(클릭, 스크롤 등)에 맞춰 필요할 때 한 번씩 요청이 발생합니다. 트래픽 발생 주기가 비규칙적이고 자연스럽습니다.
11:20:05 - GET /api/feed?offset=10 요청 (스크롤) 11:20:12 - GET /api/feed?offset=20 요청 (다시 스크롤) 11:20:19 - POST /api/posts/like 요청 ('좋아요' 클릭) - ❌ 비정상 (악성 의심):
- 대량 발생 (DDoS): 특정 IP나 여러 IP에서 짧은 시간 동안 동일한 요청이 수백, 수천 건씩 쏟아져 들어옵니다.
- 규칙적인 발생: 사람의 행동이라고 보기 어려울 정도로 1초에 한 번씩 정확하게 요청이 계속 발생합니다.
11:22:01.100 - POST /api/login ({"user":"a","pass":"1234"}) 11:22:01.200 - POST /api/login ({"user":"b","pass":"1234"}) 11:22:01.300 - POST /api/login ({"user":"c","pass":"1234"})
4. 요청이 도달하는 주소 (API Endpoint)
- ✅ 정상 (정탐): 요청이 도달하는 URL 주소가 실제로 AJAX 통신을 사용하도록 개발된 유효한 API 주소입니다. (예: /api/comments, /ajax/load_more)
GET /api/v2/mail/unread-count HTTP/1.1 Host: my-mail-service.com X-Requested-With: XMLHttpRequest - ❌ 비정상 (악성 의심): AJAX 기능이 전혀 없는 엉뚱한 주소(예: /main.html, /images/logo.png)로 해당 헤더를 포함한 요청이 들어옵니다. 이는 서버가 어떻게 반응하는지 떠보려는 스캐닝 공격일 수 있습니다.
GET /static/css/main.css HTTP/1.1 Host: some-website.com X-Requested-With: XMLHttpRequest
참고자료
Wirex Android DDoS Malware Adds UDP Flood
As quickly as attackers commandeer IoT devices to build more “thingbots,” they continue to evolve their attack types and functionality.
www.f5.com