누구나 쉽게 따라 하며 배우는 웹 해킹 첫걸음

 

 

누구나 쉽게 따라 하며 배우는 웹 해킹 첫걸음

부제 직접 개발하고 공격ㆍ방어하는 웹 해킹 기본서

저자 권현준

 

출판사 비제이퍼블릭

출간일 2022년 7월 28일

배본가능일 2022년 7월 29일

정가 21,000원

페이지 304쪽

판형 188*245

ISBN 979-11-6592-160-6 (93000)

 

 

책 소개

IT 기본 지식을 미리 알아야 할 필요는 없다!

개발과 웹 해킹을 동시에 다루는 올인원(all-in-one) 도서!

 

이 책을 읽기 위해 미리 알아야 할 IT 지식은 없습니다. 먼저 반드시 알아야 할 웹 보안 필수 기초 지식을 먼저 익히고, 서버 인프라를 구축하여 프런트엔드, 백엔드 개발을 실습합니다. 그리고 여러 해킹 기술을 익히면서 보안 테스트 능력을 향상시키고 보안과 해킹에 대해 전반적으로 이해합니다.

 

이 책의 가장 큰 장점은 바로 ‘비전공자도 바로 읽을 수 있는 입문서’라는 점입니다. 그리고 이미 웹 보안 공부에 지친 학습자들에게는 ‘향후 정보 보안 분야 학습 방법과 다양한 레퍼런스를 소개하는 훌륭한 지침서’가 될 것입니다. 보안이라는 분야는 분명 쉽지 않습니다. 하지만 제대로 공부하는 법을 알게 된다면 그 어떤 분야보다도 새롭고 흥미로운 분야입니다. 보안이라는 분야를 공부해 보고 싶지만 어떻게 시작해야 할지 두렵다면 이 책과 함께 첫발을 내디뎌 보시기 바랍니다.

 

 

저자 소개

권현준

 

선린인터넷고등학교 졸업 이후 곧바로 하나금융그룹 하나금융티아이(구 하나아이앤에스)에서 보안관제업 무를 맡으며 만 18세의 어린 나이에 보안업계에 뛰어들었다. 현재는 배달의민족 애플리케이션의 개발사인 우아한형제들에서 취약점 진단/모의 해킹 업무를 수행하고 있다.

sGen Club, Best of the Best, K-shield 등 다양한 프로그램에 선발되었으며, 2021년 HDCON에서 클라우드 보안 아키텍처 설계 및 운영 방안 수립 부문에서 대상을 수상하였다.

2017년부터 ‘비전공자를 위한 웹 해킹 입문’이라는 주제로 한양대학교 ERICA캠퍼스, 영남대학교, 단국대학 교 부속 소프트웨어 고등학교 등에서 강의를 진행해 왔으며, 현재는 탈잉 및 CLASS101에서 강의를 진행하고 있다.

 

 

목차

01 실습 환경 구성

1-1 무작정 실습 환경 구성하기

1-2 실습 환경에 대해 알아보기

 

02 해킹의 개념과 웹 해킹을 시작하기 전 알아야 할 내용

2-1 해킹의 개념

2-2 IT 기본 용어

- 하드웨어(Hardware), 소프트웨어(Software)

- 운영체제(OS), 네트워크(Network), 프로토콜(Protocol)

- IP 주소, 포트(Port), 도메인(Domain)

- 웹(WEB), 브라우저

2-3 웹 서비스의 이해

- HTTP, HTTPS

- URI, URL

- 클라이언트(Client), 서버(Server), 프런트엔드(Frontend), 백엔드(Backend)

- 웹 서비스 통신 과정

- 웹 서비스 구성 요소

 

03 Linux와 친해지기

3-1 Linux를 사용하는 이유

3-2 Linux와 Windows의 차이

- 계정 측면

- 폴더 구조 측면

- 프로그램 설치 측면

3-3 Linux 기본 명령어 익히기

- pwd

- ls

- cd

- mkdir

- rm

- sudo

- apt

- vi

 

04 간단한 웹 서비스 구현하기

4-1 구현할 웹 서비스 개요

4-2 서버 구축하기

- Apache

- PHP

- MySQL

- Apache, PHP, MySQL을 사용하는 이유

- 소프트웨어 설치

4-3 데이터베이스 구성하기

- 데이터베이스 구조

- 기본적인 MySQL 쿼리

- 회원 정보 데이터베이스 구축하기

- 검색 데이터베이스 구축하기

4-4 프런트엔드 개발하기

- HTML

- Javascript

- 로그인 페이지 제작

- 검색 페이지 제작

4-5 백엔드 개발하기

- 웹 서비스 전용 사용자 생성 및 권한 부여하기

- 로그인 기능 구현

- 검색 기능 구현

 

05 공격 기술 1 : 데이터베이스를 공격하는 SQL Injection

5-1 직접 만든 로그인 페이지 공격하기

5-2 Blind SQL Injection

5-3 SQL Injection 방어 방법

- 특수문자 필터링

- Prepared Statement

- ORM 사용

5-4 LOS 문제풀이

- 1번 gremlin

- 2번 cobolt

- 3번 goblin

- 4번 orc

 

06 공격 기술 2 : 다른 사용자를 공격하는 XSS(Cross Site Scripting)

6-1 XSS의 종류

- Reflected XSS

- Stored XSS

- DOM Based XSS

6-2 직접 만든 검색 페이지 공격하기

6-3 XSS 방어 방법

6-4 XSS Game 문제풀이

- 1번

- 2번

- 3번

 

07 공격 기술 3 : 비정상적인 요청을 성공시키는 파라미터 변조

7-1 프록시 서버

7-2 BurpSuite

7-3 파라미터 변조 문제 풀이

- 1번

- 2번

 

08 진정한 화이트햇 해커로 거듭나기

8-1 어떻게 공부해야 하는가

- 검색

- 영어

- 프로그래밍

8-2 참고할 만한 자료

- OWASP Top 10

- 주요 정보통신 기반시설 취약점 분석 평가 가이드

- 도움이 될 수 있는 각종 자격증

- 차세대 보안리더 양성 프로그램(Best Of the Best)

- 다양한 워게임 사이트

8-3 이제 막 첫걸음을 뗀 독자 여러분들께

 

 

출판사 리뷰

‘예습보다는 복습, 속도보다는 이해’!

남녀노소 누구나 이 책으로 개발과 웹 해킹 모험을 시작할 수 있습니다.

 

데이터가 곧 자산이 되는 ‘빅데이터 시대’에 보안은 무엇보다 중요합니다. 하지만 시대에 발맞춰 보안을 공부하려니 ‘해킹’이나 ‘보안’이라는 단어는 무척이나 다가가기 어려운 느낌이 듭니다. 또한 책으로 공부하려 해도 시중에 출간된 대부분의 보안 관련 서적들은 어느 정도의 기본 지식을 사전에 갖춰 두지 않으면 읽을 수가 없는 경우가 많습니다. 그 결과, IT 지식이 없는 비전공자는 입문하기도 전에 포기하게 됩니다.

 

이 책은 보안 공부의 어려움을 몸소 체험한 저자의 3년간의 모든 시행착오와 결과물을 집대성한 책입니다. 제대로 된 입문용 도서의 필요성을 누구보다 절실하게 느껴 온 저자는, 누구나 쉽게 보안 공부를 할 수 있도록 이 책을 정성스럽게 준비했습니다. 독자분들도 저자가 겪은 시행착오들을 통해 ‘웹 해킹’이라는 분야에 쉽고 가볍게 입문해 보시기 바랍니다.

 

깃허브 주소: https://github.com/bjpublic/WebHacking