웹을 공격하기 위한 도구와 기술

“만일 여러분이 웹 해킹 입문자라면, 이 책을 통해 오늘날 애플리케이션이 갖고 있는 수많은 취약점과 공격에 필요한 기본적인 도구 및 기술을 배울 수 있을 것이다.”
━ DAFYDD STUTTARD
Burp Suite 개발자이자 『Web Application Hacker’s Handbook』 공저자

『이제 시작이야! 웹 해킹 입문: THE BASICS』은 도구를 사용하는 간단한 프로세스를 통해 널리 만연한 웹 취약점이 무엇이고, 어디서 ? 왜 ? 어떻게 발생하는지, 그리고 어떻게 공격하는지 완전하게 이해할 수 있도록 도와준다. 웹 애플리케이션은 저항이 가장 적은 통로이며, 공격받을 경우 조직에 심각한 영향을 줄 뿐만 아니라 극복해야 하는 가장 낮은 장애물이기도 하다. 이 책은 해킹을 시작하는 사람에게 최고의 선택이 될 것이며, 다른 사전지식이나 경험 없이도 깊이 파고들 수 있다!

이 책은 웹 보안을 ‘웹 서버 해킹’, ‘웹 애플리케이션 해킹’, ‘웹 사용자 해킹’의 세 분야로 나눠 소개한다. 따라서 여러분은 웹 취약점과 공격 이면의 실질적인 이론뿐만 아니라 Burp Suite, splmap, Zed Attack Proxy, web shells, Social-Engineer Toolkit(SET), Nmap, Nessus, Metasploit, netcat 등의 도구를 설정하고 사용하는 방법을 배우게 된다.

이 책의 특징
-- 입문자에게 최적의 방식으로 간단하면서도 깔끔하게 소개한다.
-- 웹 취약점, 공격법, 도구에 관한 기초지식을 소개하여 더 고도화된 웹 해킹을 준비할 수 있다.
-- 가상머신을 설치하는 방법과 단계별 지침을 제공하여 정확히 공격을 수행할 수 있다.

이 책의 구성

이 책은 내용을 소개하고 예시하는 데 있어서 직접 해보는 방식을 따른다. 각 장에서는 기초 지식을 소개하여 공격이 “왜” 발생하는지 배우고, 공격을 다루는 상세하고 단계적인 접근법을 제시한다.

1장. 웹 해킹의 기초에서는 현재의 웹 취약점을 살펴보고 실무적으로 접근하는 방법을 다룬다.

2장. 웹 서버 해킹에서는 전통적인 네트워크 해킹 방법론을 웹 서버에 바로 적용하여 서버를 무력화할 뿐 아니라, 웹 서버와 웹 사용자를 상대로 감행하는 공격에서 사용되는 기본 지식을 소개한다.

3장. 웹 애플리케이션 사전조사 및 스캐닝에서는 웹 프록시와 스캐닝 도구를 소개하여 취약점을 찾고, 목표로 한 웹 애플리케이션을 공격할 수 있도록 한다.

4장. 웹 애플리케이션 주입공격으로 공격하기에서는 SQL 주입공격, 운영체제 명령어 주입, 웹쉘로 웹 애플리케이션을 뚫는 데 활용되는 이론 ? 도구 ? 기술을 다룬다.

5장. 인증 무력화, 경로 횡단으로 웹 애플리케이션 공격하기에서는 무작위 공격으로 로그인하기, 세션 공격, 강제 브라우징으로 웹 애플리케이션을 공격하는 이론 ? 도구 ? 기술을 다룬다.

6장. 웹 사용자 해킹에서는 웹 애플리케이션 크로스 사이트 스크립트(Cross Site Script, XSS)와 CSRF(Cross Site Request Forgery) 취약점뿐만 아니라, 웹 서버나 웹 애플리케이션의 취약점을 찾는 대신 사용자가 자발적으로 위험한 행동을 하게끔 유도하여 웹 사용자를 무력화하는 이론 ? 도구 ? 기술을 다룬다.

7장. 문제점 고치기에서는 이 책에서 소개한 모든 공격을 피하기 위해 오늘날 활용할 수 있는 모범사례를 다룬다.

8장. 다음 단계에서는 참여할 만한 정보 보호 그룹과 이벤트, 정규 교육과 보안 분야의 쓸만한 인증을 받아 취업하고 싶은 사람을 위한 정보를 소개한다.


출판사 리뷰

우리들은 매일 업무의 많은 부분을 웹 애플리케이션에 의존하며 일할 때나, 집에서, 심지어 놀 때조차 노트북, 태블릿, 휴대폰이나 다른 장치로 하루에도 여러 차례 웹에 접근한다. 그런데 문제는 우리가 생각하는 것처럼 웹 애플리케이션이 그렇게 안전하지 않다는 점이고, 웹 애플리케이션에 접근권한을 얻으려는 대개의 공격이 상대적으로 명확하고 단순하다는 점이다.

여러분은 이 책을 통해 웹 애플리케이션을 해킹하는 방법과 이러한 공격을 예방하기 위해 할 수 있는 기술을 배울 것이다. 각종 이론 ? 도구 ? 기술을 써서 현 시점의 웹 애플리케이션에 존재하는 가장 파괴력이 큰 웹 취약점을 찾아내고 공격할 것이다. 즉 여러분이 전혀 생각해보지 않았던 일을 하는 웹 애플리케이션을 이용해 처리한다는 뜻인데, 예를 들어 데이터베이스로부터 민감한 정보를 훔쳐오거나, 로그인 페이지 우회하기, 그리고 다른 사용자 신분으로 가장하기와 같은 일이다. 이를 위해 목표물을 설정하고, 어떻게 공격할 것인지, 필요한 도구가 무엇이고 어떻게 사용할 것인지, 그리고 이러한 공격으로부터 어떻게 방어할 것인지를 배울 것이다.

누구를 위한 책인가?

이 책은 웹 해킹의 중요한 것들을 기초부터 가르치기 위한 목적으로 쓰여졌다. 웹 해킹에 관심은 있으나 아직 좋은 자료를 찾지 못한 사람들을 위한 것이다. 그렇기 때문에 여러분이 웹 해킹 입문자라면 이 책은 여러분을 위한 것이다! 왜냐하면 이 책은 여러분이 웹 해킹과 관계된 사전지식이 전혀 없다고 가정하고 있기 때문이다. 아마 몇 가지 도구를 어설프게 주물럭거려 봤더라도 웹 해킹이라는 큰 그림 속으로 어떻게 또는 어디로 들어가야 할지 모를 수 있다.

최고의 웹 해킹 전문가들은 프로그래밍, 암호, 버그 찾기, 개발, 데이터베이스 설계, 데이터 추출, 네트워크로 통신되는 방식뿐 아니라 이보다 훨씬 더 많은 내용에 대해 확실하게 쥐고 있다. 그러나 여러분이 이런 기술을 갖고 있지 않더라도 실망할 필요는 없다! 이런 지식과 기술은 경력을 통해 축적되는 것이기 때문에 여러분이 웹 해킹에 이제 막 뛰어들었다면 아마도 이런 기술 전부를 갖고 있을리 없다. 이 책은 여러분에게 오늘날 웹 애플리케이션에 가장 많이 피해를 주는 웹 공격의 근간을 이루는 이론 ? 도구 ? 기술을 가르칠 것이다. 이를 통해 여러분은 지식과 기술뿐만 아니라 앞으로 훨씬 더 복잡한 웹 해킹의 기술이 나타나더라도 자신 있게 대응할 수 있다