메뉴 바로가기 검색 및 카테고리 바로가기 본문 바로가기

한빛출판네트워크

오픈소스 도구를 활용한 웹 모의해킹과 침해대응

리얼타임 eBook

집필서

판매중

  • 저자 : 석동현 , 김경원 , 양민철 , 조정원 , 박승우 , 김승록
  • 출간 : 2017-05-30
  • 페이지 : 316 쪽
  • ISBN : 9788968488511
초급 초중급 중급 중고급 고급
4.1점 (9명)
좋아요 : 315

『오픈소스 도구를 활용한 웹 모의해킹과 침해대응』에서는 웹 취약점 점검 도구의 기능을 알아보고 스캔에 사용된 패턴을 확인하는 과정을 다룬다. 실습에 활용할 도구는 공개용 웹 취약점 점검 도구인 OWASP-ZAP이다. ZAP은 웹 취약점 점검 도구에 필요한 모든 기능을 갖추고 있고 오픈소스로 제공되며 무료이므로 가격 부담 없이 실습할 수 있고 업무에 활용할 수 있다. ZAP의 기능을 활용할 웹 서버도 무료로 배포되는 메타스플로이터블 2(Metasploitable 2)를 사용한다.

 

웹 모의해킹을 공부하면서 많이 놓치고 어려워하는 부분의 하나가 침해 탐지 영역이다. 대부분 웹 취약점 점검 도구 또는 직접 공격을 수행한 후 발견된 취약점 결과에만 관심을 두고 어떤 이벤트가 탐지되는지는 신경 쓰지 않는다. 모의해킹을 통해 취약점을 찾는 것도 중요하지만, 악의적인 해커가 동일하게 공격하였을 때 방어자 입장에서 어떻게 탐지하고 보완할 수 있는지 역시 중요하다. 그래서 이 책은 가장 오랜 시간 동안 침입 탐지 역할을 한 스노트(Snort)에 대해서도 설명한다. 스노트만 설치하여 침입 탐지를 분석해도 되지만, 다양한 오픈소스 도구를 연동하여 구축한 NSM(Network and Security Manager)과 IDS(Intrusion Detection System) 장비인 시큐리티 어니언(Security Onion)을 활용하여 실무처럼 이벤트를 분석한다.

 

이 책에서는 오픈소스로 제공되는 도구나 장비를 활용하여 웹 취약점 진단부터 스노트 탐지까지 분석한다. 물론 오픈소스라서 상용화 도구보다 기능이 제한적이고 성능이 낮을 수 있다. 하지만 무료라는 장점 때문에 부담 없이 이용할 수 있고, 이 책에서 제시한 실무와 비슷한 환경에서 실습을 진행할 수 있다.

저자

석동현

국민대학교 나노전자물리학과를 졸업하고 보안 프로젝트(www.boanproject.com) 강사로 활동하였다. 현재는 웹 애플리케이션 및 모바일 취약점 진단과 침해 대응을 중심으로 연구하고 있다.

저자

김경원

현재 SK인포섹 컨설팅팀에서 웹 취약점 및 인프라 진단을 담당하고 있으며, 웹/모바일 애플리케이션 취약점 진단과 시스템 취약점 진단에 관심을 두고 연구하고 있다.

저자

양민철

조선대학교 컴퓨터공학부를 졸업하고 현재 가비아 정보보안실에서 보안 서비스 업무를 담당하고 있다. 침해대응을 중심으로 연구하고 있으며 관심 분야는 포렌식이다.

저자

조정원

보안프로젝트(www.boanproject.com) 대표로 후배 양성을 위한 교육 사업을 하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 하였으며, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스 코드 진단 등 다양한 영역에서 취약점 진단을 수행하였다. 이후 KTH 보안팀에서 모바일 서비스, 클라우드 서비스 보안, 침해사고 대응업무와 KB증권에서 보안파트 업무를 하였다.

주요 저서로는 『안드로이드 모바일 앱 모의해킹』(에이콘출판, 2017), 『비박스를 활용한 웹모의해킹 완벽 실습』(한빛미디어, 2017), 『IT엔지니어의 투잡, 책내기』(비팬북스, 2016), 『파이썬 오픈소스도구를 활용한 악성코드 분석』(에이콘출판, 2016), 『버프스위트를 활용한 웹 모의해킹』(한빛미디어, 2016), 『워드프레스 플러그인 취약점 분석과 모의해킹』(한빛미디어, 2015), 『IT엔지니어로 사는법 1』(비팬북스, 2015), 『안드로이드 모바일 악성코드와 모의해킹 진단』(에이콘출판, 2014), 『모의해킹이란 무엇인가』(위키북스, 2014), 『칼리리눅스를 활용한 모의해킹』(에이콘출판, 2014), 『디지털 포렌식의 세계』(인포더북스, 2014), 『크래커 잡는 명탐정 해커』(성안당, 2010) 등이 있으며, 보안프로젝트 멤버들과 함께 다양한 영역에서 활동하고 있다.

 

 

 

저자

박승우

현재 서울아이티고등학교에 재학 중이며 보안프로젝트 연구원으로 활동하고 있다. 관심 분야는 윈도우 애플리케이션 취약점이다.

저자

김승록

IT 비전공자로 늦은 나이에 아이티뱅크 학원에서 보안 공부를 시작하였다. 처음에는 네트워크 엔지니어로 1년 근무하였고 지금은 웹 보안 검증 업무를 하고 있다. 아이티뱅크에서 주관하는 보안콘퍼런스에서 우수상을 받았으며, 보안프로젝트 오프라인스터디 모의해킹실무 5기로 활동하였다.

Part 1 환경 소개와 구성

 

chapter 1 실습에 사용할 도구 

_1.1 OWASP-ZAP 소개 

_1.2 Metasploitable 2 소개 

_1.3 Security Onion 소개

 

chapter 2 환경 구성 

_2.1 OWASP-ZAP 

_2.2 Metasploitable 2 

_2.3 Security Onion 

 

 

Part 2 도구별 주요 기능

 

chapter 3 OWASP-ZAP 

_3.1 인터페이스 

_3.2 업데이트 

_3.3 로컬 프록시 

_3.4 포트 스캔 

_3.5 스파이더 

_3.6 에이잭스 스파이더 

_3.7 강제 검색 

_3.8 브레이크 

_3.9 자동 스캔 

_3.10 스캔 정책 설정 

_3.11 퍼저 

_3.12 인코더/디코더/해시 

_3.13 보고서 

_3.14 사용자 가이드

 

chapter 4 스구일 

_4.1 인터페이스 

_4.2 File 

_4.3 Query 

_4.4 Reports 

_4.5 메인 창 기능 

 

chapter 5 스노비 

_5.1 인터페이스 

_5.2 Dashboard 

_5.3 Event 

_5.4 My Queue 

_5.4 Search 

_5.6 Administration

 

chapter 6 스쿼트 

_6.1 인터페이스 

_6.2 EVENTS

 

chapter 7 엘사 

_7.1 인터페이스 

_7.2 ELSA와 Result Options

 

chapter 8 스노트 

_8.1 주요 파일과 업데이트 명령어 

_8.2 규칙 구조 

_8.3 규칙 헤더 

_8.4 규칙 옵션 

_8.5 정규표현식

 

 

Part 3 웹 취약점 진단과 스노트 분석 

 

chapter 9 웹 취약점 진단 

_9.1 진단하기 

_9.2 진단 결과

 

chapter 10 취약점 항목별 스노트 분석 

_10.1 경로 탐색 취약점 

_10.2 디렉터리 브라우징 23

_10.3 SQL 인젝션 

_10.4 크로스 사이트 스크립팅 

_10.5 운영체제 명령어 삽입 취약점 

_10.6 셸쇼크 취약점 

_10.7 소스 코드 노출 취약점 

_10.8 원격 코드 실행 취약점

 

 

Part 4 파워셸을 활용한 모의 침투 

 

chapter 11 파워셸 

_11.1 버전별 특징 

_11.2 설치 방법 

_11.3 통합 스크립팅 환경

 

chapter 12 모의 침투 

_12.1 스크립트 소개 

_12.2 침투 시나리오 

_12.3 침투 실습 

 

부록

  •  

    오픈소스 도구인 OWASP-ZAP 를 통한 모의해킹을 다루고 있다. ZAP의 기능을 활용한 웹 서버도 무료로 배포되고 있는 메타스플로이터블2를 사용하고있다. 침입탐지 도구로는  스노트를 사용하고있다. 더불어 시큐리티 어니언을 활용하여 실무처럼 침입 탐지 이벤트를 분석한다.

     

    개인적으로는 파워쉘을 이용하여 다른 곳의 PC에 침투하여 여러가지 정보를 열람하거나 조작할 수 있는 부분이 흥미로웠다. (물론 다른 타입들의 스크립트들로 충분히 가능했고, 가능하다. 그래서 고객들의 스크립트 언어의 사용을 서비스 제공사들에서 제한하고 있는 것으로 생각된다.)

     

    인터넷을 활용한 침투 시도는 계속해서 일어났고, 앞으로도 끊임없이 일어나리라 생각한다. 오픈소스 도구를 활용한 이런 배움과 경험은

    해킹과 보안에 대한 기본적인 이해에 도움을 주리라 생각한다.

     

     

  •  

    오픈소스 도구를 활용한 웹 모의해킹과 침해대응

    작가
    석동현, 김경원|양민철|조정원|박승우|김승록
    출판
    한빛미디어
    발매
    2017.07.01.

    리뷰보기

    IT업계에 종사하고 있다보니 항상 보안이라는 분야에 대한 뉴스 등을 접하면, 좀더 잘, 깊이 이해하고 싶다는 열망을 가지고 있었는데, 한빛미디어에서 진행하는 <나는 리뷰어다>는 프로그램에서 "오픈소스 도구를 활용한 웹 모의해킹과 침해대응"이라는 책제목을 접하고, 보안 분야에 대해 더 깊은 이해를 할 수 있는 계기가 마련된다는 기대감에 신청을 하게 되었고, 

    처음 웹 모의해킹과 침해대응의 실제적인 도구 사용에 대한 내용을 접하게 되면서 새로운 분야에 개척자가 되는 느낌으로 한 장씩 페이지를 넘기며 더 많은 정보의 세계로 다가가게 되었습니다.


    OWASP-ZAP, Metasploitable 2, Security Onion 등 Web 모의해킹에 사용되는 도구에 대한 상세한 설명과 배경에 대한 내용은 낯설은 Web 보안분야에 대한 두려움을 조금씩 친밀감으로 바꾸어 주었고, 보안에 대한 새로운 시각을 갖게 해 주었습니다.


    보안에 대한 내용을 이 한권의 책으로 다 마스터하기는 어렵겠지만, Web 모의해킹에 대한 소개서로의 역할은 충분히 할 수 있는 귀한 책이라고 여겨집니다. 


    Web 모의해킹 분야에 대해 접하게 해 주신 저자분들과 한빛미디어 담당자분들께 감사드립니다.

  • 첫 장을 읽기도 전에
    아, 전문 지식 필요한 책인 거 아냐? 라는 것이 첫 감상이었다.
    그러나 이 책의 저자들은 이런 나를 잘 아는 것인지
    발을 맞춰 걸어가주려고 노력한 것 같다.

    내가 이해 못할 것같은 부분에 설명을, 불친절하게 성공 케이스의 사진만 툭 넣어둔 것이 아닌 오류 화면의 사진도 넣어놨고 이 경우 왜 그런지도 알려준다.

    총 4장으로 구성되었고,
    1,2,3,4장의 연계가 잘 되어있다고 생각한다.

    그러나 4장이 짧게 끝나는 것은 약간 아쉽다. 1,2,3장을 지나 모의 실습을 해보고 싶었던 사람 중에선 약간 더 설명, 또는 문제를 함께 풀이함으로서 익히는 사람도 있지 않을까 생각한다.

  •  

    웹모의해킹과 침해대응.png

     

     

    그림을 보듯 순서되로 해야 하는 책!!!

     

     

    안녕하세요. 좋은 책을 리뷰하게 되어 감동입니다.

    웹 모의 해킹과 침해 대응에 꼭 필요한 책이군요. *^^*

     

    책 제목은 : < 오픈소스 도구를 활용한 웹 모의해킹과 침해대응 > 이라는 도서입니다.

    책을 2017년 07월19일(수) PDF로 다운 받아서 환경 실습을 해보았고 급하게 설치 리뷰를 작성합니다.

     

     

    -책의 구성-

    1part : 환경 소개와 구성 (OWASP-ZAP , Metaspoitable2, Security Onion)

                  실습 환경을 구축하기 위해서 프로그램을 설치하는 내용입니다.

                  security Onion 는 우분투 리눅스 계열이라 쉽게 설치가 됩니다.

     

    2part : 도구별 주요기능 (설치한 프로그램의 기본적인 메뉴 사용방법 기능 활용방법등 내용입니다.)

     

    3part : 웹취약점 진단과 스노트 분석

    (취약점을 분석하고 어떤 취약점 등이 있으며 취약점 패턴은 어떻게 확인되는지 설명되어 있습니다.)

     

    4part : 파워셀을 활용한 모의 침투

    (모의 침투 시나리오 및 모의 침투 실습 와이어 사크 활용 등의 내용입니다.)

     

    팁 - 가상의 환경에서 실습해야 하므로 꼭 VMware를 설치해야 합니다.

     

    JRD_설치1.png

     

    1. OWASP-ZAP를 설치하기 위해서는 아래래와 같이 JAVA JRE 를 설치해야 합니다.

    http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html

    2. OWASP-ZAP 다운 받아서 설치합니다.

    https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=OWASP_Top_10_for_2013

     

    설치가 되면 아래와 같이 OWASP-ZAP를 실행할 수 있습니다.

    OWASP-ZAP실행.png

     

     

    원도우 IP를 설정합니다. VMware 가상머신의 NAT ip 주소를 미리 설정해야 합니다.

     

    vmware net ip설정.png

     

    다운받은 메타스플로이터블 2를 vmware에서 실행 시킵니다.

    책에 자세히 니와 있기 때문에 자세한 설명은 생략하도록 하겠습니다.

     

    metasploitable2-linux vmware설정.png

     

     

    메타스플로이터블2ip설정.png

     

     

    메타스플로이터블2ip설정02.png

     

    메타스플로이터블2로그인.png

     

     

    메타스플로이터블2기본웹페이지.png

     

     

    Mutillidae로그인성공.png

     

    ↑Metasploitable 2 설치가 최종 확인되면 위와 같이 로그인 접속을 할수 있습니다.

     

     

     

    ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
    아래 부터는 시큐리티 어니얼 리눅스를 설치한 화면 입니다.                                                                             

    환경 설정은 책에 나와 있는 순서되로 그대로 따라서 설치하시면 별 무리 없이 설치가 잘됩니다.                               

    ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
     

     

    <오픈소스 도구를 활용한 웹 모의해킹과 침해대응>

    도서의 내용을 따라서 실습하기 위해서는가장 중요한 부분이 설치하는 부분과 환경 설정입니다.

    네트워크에 대한 어느 정도의 기본 지식을 가지고 있다면 쉽게 그림 동화책을 보는 느낌으로

    실습을 진행 할 수 있다고 생각됩니다.

     

     

    <본인의 소감>

    참고로 저는 다이나밉스로 네트워크를 구성해 보았으며 책의 내용 처럼 가상의 모의해킹 환경을

    만들어 놓고 실습하면 좋을 것 같습니다.

     

    초보자가 읽기에는 약간의 설치시 어려움이 있으나 인터넷으로 검색하여 하나씩 해보면

    쉽게 그림을 보듯 설치와 환경 설정을 할 수있는 내용으로 잘 작성된 것 같습니다.

     

     

    "정보보안과 모의해킹에 꼭 필요한 실습형 도서라고 생각합니다."

      좋은 책을 볼수 있어서 감사합니다.

     

     

    시큐리티 언니얼 설정.png

     

    시큐리티 언니얼 설정3.png

     

    시큐리티 언니얼 설정4완료.png

     

     

    아래는 다아나밉스 가상의 네트워크 라우팅 환경을 만들어 놓은 상태로 책의 내용을 활용하여 실습하고자 합니다.

    이공계 컴공이 보기에 딱 적합한 책이군요.

    실습 위주로 기술된 메뉴얼 같은 책~!!!

     

    다이나밉스.png

     

  •  

    이 책은 웹 모의해킹과 침해 대응 관련으로 활용서이다. 책은 활용하는 오프소스 툴들과 이를 활용한 모의해킹 방법과 침해대응 방법에 대해서 소개하고 있다.

     

    이책을 보면서 제일 먼저 고민을 하게 된 것은 어떻게 실습 환경을 구성할 것인가에 대해서 고민을 하게 되었다.

    침해 대응을 연습한다고 초가 삼간을 다 태울 수는 없으니까.

    그래서 아래와 같이 구성을 하고 집에 공간만 차지하고 있는 아이맥을 활용하기로 하였다. 

    덕분에 2010년형 아이맥에 실습 환경을 구성하느라 시간을 많이 허비하긴 했다.

    (그래도 아직 잘 돌아가는 걸 보면 튼튼하게 잘 만들었구나 하는 생각이 들었다.)

     

    실습 책을 따라하다가 보면 아래와 같이 공격을 시도할때 가슴이 두근두근 거릴때가 있었다. 그래서 실습을 할 때는 만일에 사태에 대비하기 위해 실습 장비의 네트워크를 기존에 인터넷을 하는 선과 완전히 분리해서 사용을 하였다. 덕분에 먼지 가득한 창고에서 네트워크 선과 공유기를 찾느라 힘들었지만.

    그래도, 모의 침투가 성공했을때의 기분은 간만에 짜릿했다.

    (그렇다고 내가 실제 사이트를 대상으로 하겠다는 의미는 절대 아니다!!)

    요즘 늘어가는 책에 책장을 더 구매를 해야 되나 이 책을 한번 팔고 다시 채울까하는 생각이 많이 들었는데 전자책이어서 아주 맘에 들었지만, 페이지가 조금 아쉬웠다. 마치 "흠.. 이거 맛있는데 조금 더 먹어볼까" 했을 때 다 먹고 없는 아주 크기가 작고 맛있었던 음식처럼 말이다.

     

    이 책은 기본 지식(네트워크 설정, OS 설치, 기타 등등)이 없는 초보자들에게는 약간 버거울 수 있으나, 구글링에 도움을 받는 것을 꺼리지 않고 도전해보고 싶은 독자라면 한 번쯤 집에서 다양한 침해대응을 위한 툴을 써보거나 모의 침투를 해보면서 짜릿함을 느끼는 것도 나쁘지 않을 것 같다. 

     

  •  이번 도서리뷰 이벤트로 받은 책은 위와 같고, e-book 입니다.

    초반부에는 저자 소개 다음에 저자들의 글이 실려있는데, 나름 재미있는 요소인 것 같습니다.

    그리고 목차로 들어가기 전, 책에 대한 전체적인 내용을 예고하고 정리해주는 글이 있는데, 본격적으로 책을 읽기 전에 심호흡하며 읽기 좋은 글이라고 생각됩니다.

     

    목차를 보면, 파트는 총 4개이고, 환경을 소개하고 구성하는 법부터 시작해서 도구들의 기능을 설명하고 도구들을 사용해서 웹의 취약점 진단, 스노트 분석 후 모의침투를 실습해본 뒤 책이 끝나게 됩니다.

     

     파트1은 저자분들이 많이 피곤하셨겠구나 싶을 정도로 자세하게 순간순간마다의 캡쳐본과 설명이 되어있어서 쉽게 따라갈 수 있습니다. 그만큼 정성들여 작성한게 아닌가, 어떻게 보면 과할수도 있겠다 싶은 정도일 수도 있습니다. 하지만 환경구성은 정말 중요하고, 환경을 구성하지 못하면 아무것도 할 수 없기 때문에 자세하게 작성된 것이 당연할 수도 있습니다.

     

     환경을 구성하고 나면 파트2로 넘어가서 파트1에서 설치한 도구들의 인터페이스와 기능들을 자세히 설명하고 있습니다. 다만 내용이 너무 많아서 익히기는 쉽지 않을 것 같네요. 이건 저자분들이 아닌 독자들의 몫이니 넘어갑시다. 그리고 좀 어려운 내용인 정규표현식에 대한 부분이 있는데, 예제를 통해서 이해를 돕는 부분은 저자분들의 배려가 돋보이는 부분이 아닌가 합니다. 

     

     도구들에 대해 알아본 뒤 웹 취약점을 진단하고 스노트 분석에 대한 내용이 이어지는데, 저자분들이 설명을 잘 해놓은 것 같지만 아무래도 생소한 내용이라 잘 와닿지는 않았습니다. 어쨋든 다양한 취약점에 대한 패턴확인과 스노트 분석을 잘 설명 해 놓았습니다.

     

     마지막에 비로소 모의침투를 실습해보게 되는데, 시나리오를 간단한 그림으로 설명하는 것으로 시작하여 다운로드, 사용방법들이 설명되어 있고 천천히 책을 따라가다보면 어렵지 않게 실습할 수 있습니다.

     

    전체적으로 사용하는 환경을 설치하는 방법부터 사용하는 방법, 그리고 이를 활용하는 내용 등 책은 잘 쓰여져 있습니다. 다만 보안에 대해 지식이 부족한 분들은 단순히 따라하는 것 이상의 효과를 얻을 수 없기 때문에, 이 책을 읽기 전 보안에 대한 기초적인 내용을 습득한 뒤 책을 읽으면 아주 좋은 책이 될 것이라 생각합니다.

  • 안녕하세요^^

    좋은 책을 소개해주셔서 리뷰를 작성합니다.

     

    제목에 있는 것처럼 <오른소스 도구를 활용한 웹 모의해킹과 침해대응>이라는 도서입니다.

     


    책의 구성

    첫 장에는 우리가 실습을 할 수 있도록 환경을 구축하고 설치할 수 있도록 도와주는 내용이 담겨있다.

    Part 2는 각각의 도구들을 사용할 때 어떤 기능들을 사용하고 활용할 수 있는지 소개하는 파트이다.

    Part 3은 본격적으로 지금까지 설치하고 기능을 공부했던 것들로 취약점을 분석하는 흥미로운 파트이다.

    마지막인 종장은 파워 셸이라는 강력한 셸 스크립트 언어를 이용하여 용도에 맞게 스크립트를 작성하고 이용하는 장으로 마무리가 됩니다.

     


    이 책을 읽고 실습을 하기 위해서 필요한 것에는 오픈소스로 무료인 OWASP-ZAP, Metasploitable 2, Security Onion이 사용된다.

     

    모의해킹 리뷰 2.PNG

    OWASP-ZAP의 설치했을 때 초기 화면이다.
    이 프로그램은 침입탐지 이벤트가 기록되고 이것을 설명할 때 사용됩니다.

    모의해킹 리뷰 1.PNG

    Metasploitable 2를 VMware에 설치했을 시 나오는 로그인 화면이다.
    이것은 일부러 우리가 모의해킹을 연습할 수 있도록 취약하게 만들어놓은 가상머신입니다.

     

    모의해킹 리뷰 3.PNG

    Security Onion을 설치하는 화면이고요.
    이 프로그램은 리눅스 기반으로 된 네트워크 보안 모니터링과 침입 탐지 시스템의 역할을 하기 위해 필요합니다.


     

     

    IT 쪽 공부를 1년 밖에 안한 저의 개인적인 생각은 고구마를 먹는데 김치가 없는 느낌입니다.
    뭔가 해보려고 하는데 가지고 있는 지식이 준비가 되지 않아 이해가 덜되더군요...

     

     

     

     

     

     

    이 책은 정보 보안 쪽에 어느 정도 관심을 가지고 공부를 하였던 사람이 실습하기에 좋아 보입니다.
    저는 소프트웨어 쪽의 공부를 시작한 지 겨우 1년도 되지 않아서 책이 좀 어렵다는 것이 느껴지기 때문입니다.

    그래도 어느 정도 책을 읽어보면서 여러 가지 시스템, 프로그램과 가상머신에 대해서 더 많은 것을 알게 되고 해킹이라는것이 어떤것이고 무슨장비들이 필요한지 공부하며 지식이 많아지는것에 대해서는 좋아보입니다.

    단점을 하나 꼽자면 더욱 초보자들을 위해서 단어 설명이 좀 더 되어있었으면 좋을 것 같은 생각이 듭니다.

    정보 보안을 꿈꾸는 사람이라면 모의해킹은 한번 경험해 봐야 한다고 생각하기 때문에 오픈소스라서 프로그램들이 무료인 이 책이 도움이 될 거라 생각합니다.

     

    그럼 언제나 즐거움이 가득한 하루하루 보내시고요.
    <오픈소스 도구를 활용한 웹 모의해킹과 침해대응>책의 리뷰를 마치겠습니다.^^

  •  

    오픈소스 도구를 활용한 웹 모의해킹과 침해대응

    작가
    석동현, 김경원|양민철|조정원|박승우|김...
    출판
    한빛미디어
    발매
    2017.07.01.

    리뷰보기

     

    한빛미디어 - 오픈소스 도구를 활용한 웹 모의해킹과 침해대응

    http://www.hanbit.co.kr/store/books/look.php?p_code=E9859656242

     

     

    전자책 버전으로 리뷰를 한다.

     

     

    이런 전자책이 많은 모양이다. 책 뒤쪽에 보니 '한빛 리얼타임'이라는 걸 소개해주는데, IT 개발자를 위한 전자책으로 무료로 업데이트되고 DRM-FREE로 제공된다고 한다. PDF라서 여러 군데서 볼 수 있다는 것이다. 대신 페이지마다 간간이 하단에 소유권 문구가 표시되어있다. 불법 공유는 나쁜 것이다.

     

     

     

     

    <핵심적인 내용을 빠르게 전달>

     

     

    사실 전자책은 별로 좋아하지 않는다. 전자책을 보는 기기 자체가 컴퓨터, 태블릿 등이라 자꾸 딴짓을 하고 싶고 종이를 넘기는 기분도 안 나서 집중이 잘 되지 않는다. PDF도 물론 스티커 노트 기능을 지원하지만 포스트잇을 붙여두는 느낌과는 또 다르다. 중간중간 밑줄 긋고 표시해두는 것도 물론 못한다. 대신 전자책이라서 검색이나 복사하고 붙여넣기 등은 편하게 할 수 있어서 개발 관련 서적이라면 유용하게 사용할 수 있겠다는 생각도 든다.

     

     

     

     

     

     

    <은근히 입력하기 귀찮은 디지털 포스트잇>

     

     

    책에서는 제목에서 알 수 있듯 모의해킹과 침해 대응에 관한 주제를 다룬다. 일반 프로그래머라서 모의해킹이나 침해대응과는 사실 업무적으로도 멀고 흥미가 많은 편은 아니다. 하지만 웹 개발을 하다 보면 취약점 점검은 빼먹을 수 없다.

        

    취약점에 대한 간단한 소개를 먼저 하고 사용하는 툴과 명령어, 도구 모음에 대해 설명한다. 마지막으로는 분석에 대한 결과를 보여준다. 개발을 하다 보면 어떤 작업이 필요하게 되고 인터넷으로 검색해서 여러 블로그의 글을 참고하게 된다. 이 책을 읽다 보면 이런 블로그들의 내용을 잘 정리해둔 내용을 보는 느낌이 든다. 보통 인터넷 블로그의 글을 보면서 그냥 따라만 하다 보면 잘 안되는 부분도 많고 정확하지 않은 내용도 많다. 하지만 하나의 책으로 정리를 해두었기 때문에 사용자 입장에서 편하게 잘 따라 할 수 있게 설명되어있다. 하지만 매뉴얼대로 따라만 하다 보면 갖춰진 틀 안에서만 실습을 하게 되는 문제도 있다. 또 따라 하기에 분량이 적은 편이 아니라 작정하지 않으면 시작도 하기 전에 포기하게 될지 모른다.

     

     

     

     

     

    <따라 하기 쉽게 되어있다>

     

     

    개인적으로 책에서는 새로운 지식을 얻고 작가의 생각을 엿보고 공감하는 것을 좋아하는 편이다. 하지만 이 책은 모의해킹에 대한 툴을 소개하고 그 사용법을 다루는 것이 전체 내용의 대부분을 차지한다. 실습에 관한 설명이 대부분이라 굉장히 딱딱한 문체이고, 잘 모르는 분야다 보니 읽다가 부분부분 진행이 매끄럽지 못하고 막히는 부분도 있다. 리눅스 명령어에 대해서도 기본적인 것은 알고 있어야 할 것 같다. 취약점에 대한 이론적인 설명도 내용이 부실하다. 물론 책 분량 문제도 있고 취약점에 관한 내용으로만 책 한 권도 부족할 수도 있다. 툴 안의 도구에 대한 설명은 자세하게 써두었는데 과연 필요 없는 기능에 대한 설명이 굳이 필요할까 하는 생각도 들었다.

     

     

     

    ​<툴바에 대해 이렇게까지 설명이 필요할까?>


     

    저자가 여러 명이고 글을 쓰는데 있어 어떻게 나누었는지는 모르겠지만 챕터별로 내용에 차이가 좀 있다. 모의해킹에 관한 책이고 취약점에 대한 설명도 부족한데 뜬금없이 정규 표현식에 대한 내용이 몇 장에 걸쳐 나오는가 하면 어떤 챕터에서는 갑자기 퀴즈가 나온다.

     

     

     

     

     

     

    취약점 항목별 스노트 분석에 대한 내용은 만족스러웠다. 여러 가지 취약점에 대한 이론적인 내용을 접해보긴 했지만 실제로 취약점으로 공격이 들어오면 어떤 모습이 되는지 궁금했는데 스크린샷으로 나와있어서 이해하기 쉬웠다.

    실제 웹서비스를 개발할 때도 이런 유명한 취약점에 대해서는 항상 검사를 하게 된다. SQL injection, XSS 등은 직접 테스트를 해보기도 한다. SI 사업을 할 때는 특히 모의해킹을 하는 것 자체가 사업이 될 때도 있었다. 정부 관련 사이트에서조차 실제로 취약점이 다수 발견되기도 한다. 이 책으로 실습을 한다면 취약점을 점검하고 방어하는 대책을 세울 수도 있지만 반대로 실제 사이트를 대상으로 실습을 한다면 공격도 가능하다는 이야기다. 그만큼 취약점에 대해 대수롭지 않게 생각하는 개발자가 많은 것 같다. 유명한 취약점일수록 조치도 빨리 되고 패치도 금방 나오지만 그만큼 신경을 안 쓰게 될 수도 있으니까 주의가 필요하겠다. 실제 사이트를 대상으로 모의해킹에 성공한다면 뿌듯함도 있겠지만 잘못하면 경찰서에 끌려갈 수 있다는 걸 항상 염두에 두도록 한다.

     

    이 책은, 도구와 실습에 대한 내용이 주를 이루고 있어서 단지 관심이 있거나 공부하기 위해서라면 추천하지 않는다. 짬을 내서 책을 보는 경우가 많은데 실습 환경 앞에서 일일이 확인해가며 보기엔 힘들기 때문이다. 물론 환경이 되고 정보 보호에 관심이 많다면 따라 해보는 것이 도움은 될 수 있겠다. 하지만 '일반적인 개발자' 라면 대부분 전자가 아닐까 하고 생각해본다.

     

  • 처음 차례를 보고 느낀건 '책을 다 읽을 수 있을까?' 였다. 

     

    보안쪽 공부를 해본적이 없어서 익숙한 단어가 하나도 없었다.

     

    시간날때 틈틈히 읽어야지라는 생각으로 가볍게 읽었다. 

     

    이 책은 파트가 4개로 나눠져있는데 첫 파트는 설치 부분이다.

     

    설치부분이 좀 많내? 라고 생각했는데 아주 자세히 나와있어서 나 같은 초보에겐 큰 도움이 될거같다.

     

    뭔가 컴퓨터로 배우려고 할때, 설치에서 막히면 그것보다 답답한건 없는데 여긴 아주 자세히 되있어서

     

    설치하고 나서도 다시 설치해야할때 참고하면  도움이 될 것 같다.

     

    참고로 설치하는 것들은 

    웹 스캐너: OWASP-ZAP

    네트워크 보안 모니터링 장비: 시큐리티 어니언Security Onion

    테스트 웹 서버:  메타스플로이터블 2Metasploitable 2 

결재하기
배송료 : 0원배송료란?

배송료 안내

  • 책, 아이템 등 상품을 3만원 이상 구매시 무료배송
  • 브론즈, 실버, 골드회원이 주문하신 경우 무료배송

무료배송 상품을 포함하여 주문하신 경우에는 구매금액에 관계없이 무료로 배송해 드립니다.

닫기

리뷰쓰기

닫기
* 도서명 :
오픈소스 도구를 활용한 웹 모의해킹과 침해대응
* 제목 :
* 별점평가
* 내용 :

* 리뷰 작성시 유의사항

글이나 이미지/사진 저작권 등 다른 사람의 권리를 침해하거나 명예를 훼손하는 게시물은 이용약관 및 관련법률에 의해 제재를 받을 수 있습니다.

1. 특히 뉴스/언론사 기사를 전문 또는 부분적으로 '허락없이' 갖고 와서는 안됩니다 (출처를 밝히는 경우에도 안됨).
2. 저작권자의 허락을 받지 않은 콘텐츠의 무단 사용은 저작권자의 권리를 침해하는 행위로, 이에 대한 법적 책임을 지게 될 수 있습니다.

오탈자 등록

닫기
* 도서명 :
오픈소스 도구를 활용한 웹 모의해킹과 침해대응
* 구분 :
* 상품 버전
종이책 PDF ePub
* 페이지 :
* 위치정보 :
* 내용 :

도서 인증

닫기
도서명*
오픈소스 도구를 활용한 웹 모의해킹과 침해대응
구입처*
구입일*
부가기호*
부가기호 안내

* 회원가입후 도서인증을 하시면 마일리지 500점을 드립니다.

* 한빛 웹사이트에서 구입한 도서는 자동 인증됩니다.

* 도서인증은 일 3권, 월 10권, 년 50권으로 제한됩니다.

* 절판도서, eBook 등 일부 도서는 도서인증이 제한됩니다.

닫기

해당 상품을 장바구니에 담았습니다.이미 장바구니에 추가된 상품입니다.
장바구니로 이동하시겠습니까?

자료실