이제 시작이야! 웹 해킹 입문: THE BASICS

 

이제 시작이야! 웹 해킹 입문

: THE BASICS

 

시리즈명 철통보안 시리즈-022

저자 조쉬 파울리

역자 김종덕

 

출간일 2014년 9월 26일 (금)

정가 18,000원

페이지 196

 

판형 173 x 230

ISBN 978-89-94774-78-7 (93000)

원서정보 THE BASICS OF WEB HACKING: Tools and Techniques to Attack the Web

 

 

 

책 소개

 

웹을 공격하기 위한 도구와 기술

 

"만일 여러분이 웹 해킹 입문자라면, 이 책을 통해 오늘날 애플리케이션이 갖고 있는 수많은 취약점과 공격에 필요한 기본적인 도구 및 기술을 배울 수 있을 것이다.”

━ DAFYDD STUTTARD

Burp Suite 개발자이자 『Web Application Hacker’s Handbook』 공저자

 

 

『이제 시작이야! 웹 해킹 입문: THE BASICS』은 도구를 사용하는 간단한 프로세스를 통해 널리 만연한 웹 취약점이 무엇이고, 어디서 · 왜 · 어떻게 발생하는지, 그리고 어떻게 공격하는지 완전하게 이해할 수 있도록 도와준다. 웹 애플리케이션은 저항이 가장 적은 통로이며, 공격받을 경우 조직에 심각한 영향을 줄 뿐만 아니라 극복해야 하는 가장 낮은 장애물이기도 하다. 이 책은 해킹을 시작하는 사람에게 최고의 선택이 될 것이며, 다른 사전지식이나 경험 없이도 깊이 파고들 수 있다!

 

이 책은 웹 보안을 ‘웹 서버 해킹’, ‘웹 애플리케이션 해킹’, ‘웹 사용자 해킹’의 세 분야로 나눠 소개한다. 따라서 여러분은 웹 취약점과 공격 이면의 실질적인 이론뿐만 아니라 Burp Suite, splmap, Zed Attack Proxy, web shells, Social-Engineer Toolkit(SET), Nmap, Nessus, Metasploit, netcat 등의 도구를 설정하고 사용하는 방법을 배우게 된다.

 

이 책의 특징

 

-- 입문자에게 최적의 방식으로 간단하면서도 깔끔하게 소개한다.

-- 웹 취약점, 공격법, 도구에 관한 기초지식을 소개하여 더 고도화된 웹 해킹을 준비할 수 있다.

-- 가상머신을 설치하는 방법과 단계별 지침을 제공하여 정확히 공격을 수행할 수 있다.

 

독자대상

초급

 

 

저자 소개

 

조쉬 파울리

샌디에고 매디슨의 다코다 주립대학교에서 사이버 보안학과 조교수로 재직 중이며 학부생 및 대학원생에게 소프트웨어 보안을 강의하고 있다. 그는 사이버 보안과 관련하여 국제 학술저널과 컨퍼런스 논문으로 약 30편을 발간했으며, 국방부, 국토안보부, DEFCON, Black Hat에서 발표하기도 했다. 또한 정보보호 컨설팅 회사에서 웹 애플리케이션 침투 테스트를 지휘하기도 했다.

 

역자 소개

 

김종덕

고려대학교에서 수학을 공부했고, 현재 SK 커뮤니케이션즈에서 암호와 보안기술 관련 업무를 담당하고 있다.

 

 

목차

 

1장. 웹 해킹의 기초

- 소개 

- 웹 애플리케이션이란 무엇인가?

- HTTP에 대해 알아야 할 것들

- 웹 해킹의 기초: 우리의 접근 방향

- IT의 모든 부분과 관련된 웹 애플리케이션

- 현존하는 방법론

- 가장 흔한 웹 취약점

- 테스트 환경 설정하기

 

2장. 웹 서버 해킹

- 소개 

- 사전조사

- 포트 스캐닝

- 취약점 스캐닝

- 공격하기

- 접근 유지하기

 

3장. 웹 애플리케이션 사전조사 및 스캐닝

- 소개 

- 웹 애플리케이션 사전조사

- 웹 애플리케이션 스캐닝

 

4장. 웹 애플리케이션 주입공격으로 공격하기

- 소개 

- SQL 주입 취약점

- SQL 주입공격

- 운영체제 명령어 주입 취약점

- 운영체제 명령어 주입공격

- 웹 쉘

 

5장. 인증 무력화, 경로 횡단으로 웹 애플리케이션 공격하기

- 소개 

- 인증과 세션 취약점

- 경로 횡단 취약점

- 무작위 인증 공격

- 세션 공격

- 경로 횡단 공격

 

6장. 웹 사용자 해킹

- 소개 

- 크로스 사이트 스크립트 취약점

- 크로스 사이트 요청 변조 취약점

- 기술적인 사회공학 취약점

- 웹 사용자 사전조사

- 웹 사용자 스캐닝

- 웹 사용자 공격

- 크로스 사이트 스크립트 공격

- 반사형 XSS 공격

- 저장형 XSS 공격

- 크로스 사이트 요청 변조 공격

- 사용자 공격 프레임워크

 

7장. 문제점 고치기

- 소개 

- 웹 서버의 문제점 고치기

- 웹 애플리케이션의 문제점 고치기

- 웹 사용자의 문제점 고치기

 

8장. 다음 단계

- 소개 

- 보안 커뮤니티 그룹과 이벤트

- 정규 교육

- 인증

- 추가로 볼만한 책

 

 

 

이 책의 구성

 

이 책은 내용을 소개하고 예시하는 데 있어서 직접 해보는 방식을 따른다. 각 장에서는 기초 지식을 소개하여 공격이 “왜” 발생하는지 배우고, 공격을 다루는 상세하고 단계적인 접근법을 제시한다.

 

1장. 웹 해킹의 기초에서는 현재의 웹 취약점을 살펴보고 실무적으로 접근하는 방법을 다룬다.

 

2장. 웹 서버 해킹에서는 전통적인 네트워크 해킹 방법론을 웹 서버에 바로 적용하여 서버를 무력화할 뿐 아니라, 웹 서버와 웹 사용자를 상대로 감행하는 공격에서 사용되는 기본 지식을 소개한다.

 

3장. 웹 애플리케이션 사전조사 및 스캐닝에서는 웹 프록시와 스캐닝 도구를 소개하여 취약점을 찾고, 목표로 한 웹 애플리케이션을 공격할 수 있도록 한다.

 

4장. 웹 애플리케이션 주입공격으로 공격하기에서는 SQL 주입공격, 운영체제 명령어 주입, 웹쉘로 웹 애플리케이션을 뚫는 데 활용되는 이론 · 도구 · 기술을 다룬다.

 

5장. 인증 무력화, 경로 횡단으로 웹 애플리케이션 공격하기에서는 무작위 공격으로 로그인하기, 세션 공격, 강제 브라우징으로 웹 애플리케이션을 공격하는 이론 · 도구 · 기술을 다룬다.

 

6장. 웹 사용자 해킹에서는 웹 애플리케이션 크로스 사이트 스크립트(Cross Site Script, XSS)와 CSRF(Cross Site Request Forgery) 취약점뿐만 아니라, 웹 서버나 웹 애플리케이션의 취약점을 찾는 대신 사용자가 자발적으로 위험한 행동을 하게끔 유도하여 웹 사용자를 무력화하는 이론 · 도구 · 기술을 다룬다.

 

7장. 문제점 고치기에서는 이 책에서 소개한 모든 공격을 피하기 위해 오늘날 활용할 수 있는 모범사례를 다룬다.

 

8장. 다음 단계에서는 참여할 만한 정보 보호 그룹과 이벤트, 정규 교육과 보안 분야의 쓸만한 인증을 받아 취업하고 싶은 사람을 위한 정보를 소개한다.

 

 

출판사 리뷰

 

우리들은 매일 업무의 많은 부분을 웹 애플리케이션에 의존하며 일할 때나, 집에서, 심지어 놀 때조차 노트북, 태블릿, 휴대폰이나 다른 장치로 하루에도 여러 차례 웹에 접근한다. 그런데 문제는 우리가 생각하는 것처럼 웹 애플리케이션이 그렇게 안전하지 않다는 점이고, 웹 애플리케이션에 접근권한을 얻으려는 대개의 공격이 상대적으로 명확하고 단순하다는 점이다.

 

여러분은 이 책을 통해 웹 애플리케이션을 해킹하는 방법과 이러한 공격을 예방하기 위해 할 수 있는 기술을 배울 것이다. 각종 이론 · 도구 · 기술을 써서 현 시점의 웹 애플리케이션에 존재하는 가장 파괴력이 큰 웹 취약점을 찾아내고 공격할 것이다. 즉 여러분이 전혀 생각해보지 않았던 일을 하는 웹 애플리케이션을 이용해 처리한다는 뜻인데, 예를 들어 데이터베이스로부터 민감한 정보를 훔쳐오거나, 로그인 페이지 우회하기, 그리고 다른 사용자 신분으로 가장하기와 같은 일이다. 이를 위해 목표물을 설정하고, 어떻게 공격할 것인지, 필요한 도구가 무엇이고 어떻게 사용할 것인지, 그리고 이러한 공격으로부터 어떻게 방어할 것인지를 배울 것이다.

 

 

누구를 위한 책인가?

 

이 책은 웹 해킹의 중요한 것들을 기초부터 가르치기 위한 목적으로 쓰여졌다. 웹 해킹에 관심은 있으나 아직 좋은 자료를 찾지 못한 사람들을 위한 것이다. 그렇기 때문에 여러분이 웹 해킹 입문자라면 이 책은 여러분을 위한 것이다! 왜냐하면 이 책은 여러분이 웹 해킹과 관계된 사전지식이 전혀 없다고 가정하고 있기 때문이다. 아마 몇 가지 도구를 어설프게 주물럭거려 봤더라도 웹 해킹이라는 큰 그림 속으로 어떻게 또는 어디로 들어가야 할지 모를 수 있다.

 

최고의 웹 해킹 전문가들은 프로그래밍, 암호, 버그 찾기, 개발, 데이터베이스 설계, 데이터 추출, 네트워크로 통신되는 방식뿐 아니라 이보다 훨씬 더 많은 내용에 대해 확실하게 쥐고 있다. 그러나 여러분이 이런 기술을 갖고 있지 않더라도 실망할 필요는 없다! 이런 지식과 기술은 경력을 통해 축적되는 것이기 때문에 여러분이 웹 해킹에 이제 막 뛰어들었다면 아마도 이런 기술 전부를 갖고 있을리 없다. 이 책은 여러분에게 오늘날 웹 애플리케이션에 가장 많이 피해를 주는 웹 공격의 근간을 이루는 이론 · 도구 · 기술을 가르칠 것이다. 이를 통해 여러분은 지식과 기술뿐만 아니라 앞으로 훨씬 더 복잡한 웹 해킹의 기술이 나타나더라도 자신 있게 대응할 수 있다.