비박스 환경을 활용한 웹 모의해킹 완벽 실습

작가

조정원, 이승준|김영선|최일선|이선경

출판

한빛미디어

발매

2016.11.21.

리뷰보기

비박스와 버프스위트를 활용하여 웹 서버 모의해킹을 경험해 볼 수 있습니다. 가장 초보적인 단계에서 

어느정도 실무에 도움이 될 수 있는 단계까지 경험을 해 볼 수 있습니다만 비교적 입문자 레벨에 맞추어져 누구나 쉽게 보실 수 있습니다.

대부분의 독자분들이 VirtualBox 등을 사용하여 가상환경을 구축해 실습을 하실거라 생각이들며 (그렇지 않으면 PC가 여러대 필요 하므로..) 가상 환경 구축 후 버프스위트로 프록시 서버를 실행 시키고 웹 브라우저의 요청을 프록시 서버를 경유 해 비박스로 요청에 성공하면

이후로는 책을 따라 편안히 실습해 볼 수 있습니다.

버프스위트와 비박스의 소개와 설명을 Google등의 인터넷 검색을 하면 발에 차일 정도로 많이 있으므로, 여타 환경세팅이나 동작원리에 궁금한 점이 있다면 검색을 통해 쉽게 접할 수 있습니다.

이 책을 통해 웹 서버에서 일어날 수 있는 다양한 취약점의 종류와 그에 대한 방어에 대해 학습할 수 있으리라 생각합니다.

<비박스 환경을 활용한 웹 모의해킹 완벽 실습>의 자세한 내용은 한빛미디어 홈페이지에서 확인 하실 수 있습니다. 

BackTrack, HackersLab의 F.H.Z(Free Hacking Zone), Sytstem programming을 해본 경험이 있다면 비박스는 좀 단순하게 웹 Hacking 중에서 PHP, Mysql을 사용하는 서버가 관심 대상인 사람에게는 한번쯤 봐도 손해는 없을 것 같다.

중소규모 웹 서버 개발에 주로 사용되었던 PHP, MySQL 개발구성은 보안 이슈가 다른 Server side Script 언어와 비교할 때 고질적인 문제요소였다.

이책은 현재 PHP로 서버개발을 하는 사람들에게 있어 프로그래밍 할 때 고려할 사항과 실제 운용시 문제를 발견하기 위한 방법들을 제시해주는 기본 가이드 역할을 충분히 해줄것으로 생각된다.

이 책의 지식을 습득하기 위해서는 책을 보는것 만으로는 충분하지 않고, 반드시 실습을 병행하여 책에서 설명하는 부분을 꼭 몸으로 익혀보아야 한다.

책은 비박스 전체 내용중 처음 시작하기 위한 가이드 역할이다. 책에서 설명하지 않은 나머지 비박스 실습부분은 개인의 몫이다.

실습환경은 가상머신에 비박스와 칼리리눅스, 윈도우(테스트 하고자 하는 버전으로)를 설치하여 구성하면 책 전반적인 내용을 실습하기 좋다. 참고로 VMWare가 VirtualBox를 사용하는 것보다는 덜 번거롭다. (역시 돈 값은 하나 보다)

책 전체 구성을 보면

Part 1. 인젝션

Part 2. 인증 및 세션관리 취약점

Part 3. XSS (Cross Site Scripting)

Part 4. 취약한 직접 객체참조

Part 5. 보안설정 오류

Part 6. 민감 데이터 노출

Part 7. 기능 수준의 접근 통제 누락

Part 8. 크로스 사이트 요청 변조

Part 9. 알려진 취약점이 있는 컴포넌트 사용

Part 10. 검증되지 않는 리다이렉트와 포워드

로 되어있다.

초반부(Part 1 ~ Part 4) 가장 기본적인 사항들로 Injection의 유형들이 다른 형태로 설명되고 있다.

중반부(Part 5 ~ Part 9)에는 개발단계에서 배포단계로 넘어가기 전 정리해야 할 사항들을 방치했을 때 만날 수 있는 보안 위험 요소들에 대해 설명하고 있으며

후반부(Part 10)에는 자칫 실수하기 쉬운 보안 요소에 대해 툴들을 사용해 점검해 볼 수 있는 부분들이 보여진다.

실습부분에 있어서 어떤 내용은 상세하게 어떤 내용은 조금 불친절하게 되어있기는 하지만 전반적으로 잘 설명되어 있다.

책을 다 읽고 나면 왠지 어딘가 구동중인 서버에 시도해보고 싶은 충동이 생길지도 모르겠다.

불법이기에 하면 안되지만, 친구나 지인의 사이트 보안 점검을 무료로 해준다고 하고 테스트 하고 밥한끼 정도 요구할 수 있다면 이거양득이지 않을까 싶다.

다양한 웹 해킹관련 어플, 웹 사이트, 리눅스 명령들에 대해, 제시된 문제를 해결하기 위한  간단한 사용법이 책에 소개되어 있다.

자세히 들여다 볼 기회가 있다면 소개된 어플, 사이트, 명령들을  상세하게 알아보고 정리해 본다면 큰 도움이 된다.

보안을, 특히 웹 보안에 관심이 있는 초급자라면 꼭 한번 읽어보길 바란다.

쉬운 개념은 아니기에 한번 읽어 이해가 되지 않을 것이고, 여러번 모르는 용어는 찾아가며 이해하면서 다독한다면 다른 웹 보안 공부를 하는데 기본을 제공할 수 있는 책이다.

보안 입문자에게 추천, 중급자에겐 간단한 레퍼런스 역할.

오늘날의 웹 애플리케이션은많은 기술들이 의존하면서 합성되어 점점 복잡하게 구성됩니다. 그러다 보니 당연히 취약점이 증가하게 되고 크래킹을 통해 중요한 정보가 노출이 되거나 임의로 위/변조되어 심각한 보안 사고가 발생하게 됩니다.

그래서 개발 시 이러한 크래킹에 대한 방어 기술은 필수인데 이것을 제대로 학습할 수 있는 콘텐츠가 없습니다.

즉, 취약점의 종류, 공격 과정, 효과적인방어 대책에 대해서 실제 모의 해킹 실습을 통해 해법을 알려 주는 서적은 매우 부족합니다.

다행스럽게도 이 책의 많은 보안 전문가들이 초급 독자의 시선에서 웹 애플리케이션의 취약점을 이해시키고, 가상의 모의 해킹 환경을 통해 시큐어 코딩의 방향까지 친절하게 알려 줍니다.

참고로, 이 책에서 제시한 취약점 예시 중에 정말 저런 식으로 개발하는 개발자가 있을까 하고 의구심이 생길 수 있는데 사실 정말 많습니다. 그래서 이번 기회에 독자들 스스로 자신의 코딩 스타일을 점검해 보는 계기가 되었으면 좋겠습니다.

1. 누가 이 책을 읽어야 할까?

이 책은 다음과 같은 사람들에게유용합니다.

(1) 시큐어 코딩에 관심이 많은 개발자

(2) 소프트웨어 품질관리 종사자

(3) OWASP Top 10 취약점에 대한 해법을 찾는개발자

(4) PHP초보 개발자

(5) 공공기관 프로젝트를 진행하는 기획자, 개발자, 프로젝트 매니저

2. 지갑을 열게 하는 이 책만의 장점

(1) 모의 해킹을 통한 실습 위주의 가이드 북

(2) 공격의 난이도에 따라 취약점을 분석하고 방어 방안을제시합니다.

(3) OWASP Top 10취약점을 상세히 다루고 있습니다.

(4) 초보자도 이해하기 쉽게 많은 이미지를 활용하여 설명하고있습니다.

3. 핵심내용 요약

아래 설명하는 내용은 독자가 bWAPP(웹 취약점을 공격할 수 있는 오픈소스 웹 애플리케이션)을 이용하여 결과를 즉시 확인할 수 있으므로 크게 어려운 부분은 없습니다.

bWAPP을 이용하기 위해서는 bee-box라는 가상환경을 구축해야 합니다. 책에서 지시하는 대로 VirtualBox와 bee-box를 설치하면 됩니다.

참고로, 예제나 대응 방안이 PHP를 기반으로 설명하고 있으나 기초적인 함수 등이 사용됨으로 이해하는데 큰 무리가 없다고 판단됩니다. (참고로 DB는 MySQL을 기준으로 설명)

아래 중요 섹션 별로 간략하게 요약을 했으니 혹시 독자 여러분이 필요한  내용이있는지 살펴 보시길 바랍니다.

<인젝션>

개발자라면 대부분 인지하고 있는 인젝션 공격은 너무나 잘 알려진 웹 취약점 공격입니다. 공격 타입에 따라 SQL 인젝션, HTML 인젝션, OScommand 인젝션, LDAP 인젝션 등에 대해서 설명합니다.

첫 번째로 공격자가 웹 브라우저의 URL 주소나 웹 폼에 입력한 HTML 태그를 그대로 해석하여 출력하는HTML 인젝션 취약점에 대해 설명합니다.

두 번째로 iframe, OS 커멘드, PHP코드, SSI 인젝션 공격에 대해 설명합니다.

iframe인젝션 공격은 HTML 페이지안에 iframe 태그를 삽입하면서 악성 URL로 연결하고 이를 숨기기 위해 iframe 사이즈를 0으로 설정하는 방법입니다.

OS 커맨드 인젝션 공격은 사용자가 입력한 변수에 서버 운영체계의 명령어를 주입하여 실행하는 방법입니다.

PHP코드 인젝션 공격은 말 그대로 PHP 언어에서 서버 OS의 명령을 실행하는 함수에 대한 취약점입니다. 실제로 제가 수행한 프로젝트에서도 system(), shell_exec(),exec() 같은 함수는 보안상 사용을 못하도록 막는 경우가 많았습니다.

세 번째로 너무나 유명한 공격패턴인 SQL 인젝션입니다. 우선 사용자 입력 변수에 특수문자를 사용하여 임의로 웹 애플리케이션에 오류를 발생하여 서버 정보와 DB 정보를 알아내는 방법을 설명합니다. 또한 SQL의 특징을 이용하여 원하는 정보를 알아내는 기법에 대해서도 안내합니다.

<인증 및 세션 관리 취약점>

웹 사이트의 인증 과정에서 발생할 수 있는 취약점에 대해서 설명합니다. 사실 여기서 설명하는 몇몇 예제들은 인증 정보를 그대로 노출하는 취약점을 가지고 있어 실제 개발에서는 발견되지 않는 취약점입니다.

비밀번호 무차별 대입 공격은흔한 공격법인데 요즘은 이에 대한 방어로 캡차(CAPTCHA)를 이용하여 사람이 아닌 프로그램에 의한 로그인 시도를 차단합니다.

다음은 관리자 페이지 접근에 대한 세션 처리를 제대로 하지 않아 많은 취약점이 노출되어 관리자 페이지에 접근이 허용하는 경우입니다. 실제로 관리자 페이지에 인증을 거치지 않고 접근하는 공격 방법에 대해 알려줍니다.

<크로스 사이트 스크립팅>

저장된 크로스 사이트 스크립팅(XSS) 취약점은 아마 개발자가 가장 많이 접하게 되는 취약점일 것입니다. 악성코드 배포에 주로 이용되는 공격 방법인데 웹사이트를 공격하여 DB에 악성코드를 저장하고 게시판 등의 경로에 일반 사용자가 게시물을 클릭하면 악성 코드가 실행되도록 유도합니다.

이러한 공격의 대상이 되는변수를 htmlspecialchars()나 mysqli_real_escape_string()같은 함수를 사용하여 조치하는 방법을 소개하고 있습니다.

<취약한 직접 객체 참조>

이 장에서는 중요정보를 다룰때 개발자의 개발의 편의를 위해 노출한 정보로 인해 보안상의 문제가 생기는 예를 설명하고 있습니다.

예를 들어 비밀번호를 변경할때는 현재 사용자를 인식하는 아이디 뿐만 아니라 토큰(Token)을 사용하여 현재 사용자의 아이디의변조에 대비해야 한다고 해결책을 제시합니다.

또 다른 예로, 쇼핑몰의 주문 상품의 가격이 폼의 hidden 값에 저장된 경우이를 조작하여 그대로 주문에 반영하는 경우를 설명합니다. 이러한 중요한 정보는 사용자에게 노출되어서는 안되고 백엔드 프로그램에서 반드시 처리를 해야 합니다.

<보안 설정 오류>

보안 설정 중에 처음으로 다루는내용은 robots.txt 파일입니다. 알다시피 이 파일은검색엔진의 페이지에 대한 접근 권한을 설정 하는 파일로 개인정보나 중요정보의 노출과 관련이 많습니다. 사이트의 성격에 따른 robots.txt 파일을 적절히 설정하는 방법에 대해 다룹니다.

또한 원격으로 웹 서버를 제어할수 있는 HTTP 프로토콜의 확장 기능인 WebDAV의 보안설정 오류에 대해서도 설명합니다.

<민감 데이터 노출>

민감한 데이터의 저장 방법으로 쓰이는 여러 가지 기술의 취약점을 살펴보고 개선방안을 제시해 줍니다.

우선 중요 데이터를 Base64인코딩하는 경우인데 이럴 경우 중요 데이터는 다시 원문으로 디코딩이 가능합니다. 그래서 중요 데이터는 절대 디코딩이 가능한 Base64로 인코딩하면 안되고 보안에 강력한 다른 해시함수를 사용해야 한다고 조언합니다.

두 번째 SSL 보안 프로토콜의 사용하자는 내용입니다. 세 번째 내용이 요즘많이 사용하는 HTML5의 웹 저장소(Web Storage)의취약점에 대한 설명입니다.

<기능 수준의 접근 통제 누락>

접근 통제는 보안의 기본 중에기본이라고 생각합니다. 서버의 디렉터리 구조를 한번에 노출이 된다면 중요한 파일이 그대로 노출이 되어다운로드가 가능하게 됩니다. 이를 방지하기 위해 서버의 옵션을 수정하여 경로 탐색 취약점을 조치해야합니다.

첫 번째 설명하는 취약점은 디렉터리 접근 취약점입니다. 크래커가 웹 상에서 원하는 디렉터리로 접근하는 방법을 설명합니다.

두 번째로 악의적인 코드가 입력된 파일을 사용자가 서버에서 열람하는 파일삽입 공격을 설명합니다.

웹개발을 하면서

웹사이트의 보안은 개인정보를 취급하는 사이트인 경우 많은 이슈가있었고,

내가 만든 사이트역시  보안에 취약한지 아닌지 의문이 들때가 있다.

해당 책은 비박스를 통해 가상 으로 보안에 취약한점을 미리 테스트 해보고 해당원인과 결과를 파악해 봄으로써,

개발자가 생각지 못한 다양한 문제들을 알수가 있었다.

보안에 취약한 여러 사례들을 알려주며, 다양한 보안문제를 접근해서 가이드를 해주었다.

특히 input 창에 태그입력을 통한 부분은 일반적으로 개발자라면 생각지도 못한부분이었던것같다.

코딩을 할때 자연스럽게 보안을 생각하며 작성할수있는 좋은 가이드가 된것같다.

이 책은 비박스(bee-box)라는 보안 취약점이 많은 웹 애플리케이션을 통해 웹 해킹을 설명한다. 특별히 이 책은 아래 세 가지의 이유로 웹 해킹의 기초적인 내용을 학습하는 데 도움이 되었다.

첫째, 이론 설명과 함께 삽입되는 그림이 해당 웹 취약점에 대한 이해를 크게 돕는다.

둘째, 비박스(bee-box)라는 다양한 웹 취약점을 포함한 웹 애플리케이션을 Virtual Box라는 가상머신(Virtual Machine)에서 실습할 수 있는 환경을 통해 책에서 설명한 이론을 실제 실습할 수 있다.

셋째, OWASP에서 제공하는 취약점을 중요도 순서대로 배움으로써 중요한 것부터 먼저 배울 수 있다.

현재 본인은 정보보안기사 시험을 준비 중인데 이론으로 알았던 내용을 bWAPP을 통해 실습할 수 있어서 매우 유익했다. 한 가지 아쉬운 점이라면 책 구성이 단순해서 이해하기 좋지만 실습을 계속 따라하다 보면 무언가 놓치고 있는 것 같은 느낌이 들었다. 아마도 그건 이론적인 부분에 있어서 (본인이 생각하기에) 충분한 설명을 하고 있지 않기 때문인 것 같다.

그러나 이 책을 통해 비박스(bee-box)라는 환경을 알게 되었고, 책에서 다루지 않은 엄청나게 많은 웹 취약점을 실습할 수 있게 되었으므로 전반적으로 만족한다. 머리로 배운 각종 웹 취약점을 실습하고 싶은 분들에게 일독을 권한다.

해킹을 하나도 모르는 개발자라도 쉽게 튜토리얼식으로 따라가며 보안의 기본을 익힐수 있는책

평소 해킹에 대해 멀리서 동경만해온 개발자로서 호기심에 이책을 선택하게 되었는데 다행히도 컴퓨터의 기본지식만 있으면 따라올수 있는 수준의 난이도로 구성되어 있는 책이었다. 시작부터 친절하다 못해 떠먹여주기까지 하는 방식의 이책은 평소 백엔드 개발을 하며 일반적으로 조심해야 하는 해킹 패턴들에 대해 매우 친절하게 안내해준다. 스크린샷으로 시작해서 스크린샷으로 끝나는 구성방식으로 그림이 많아 책의 내용을 실습하는 중간중간 내가 입력한 결과화면과 책속에 구성된 스크린샷과 비교하여 책의 내용을 잘 따라고 가고 있는지 바로 바로 알수 있었다.

또한, 책의 내용의 각각의 내용이 독립되어 있어 연속적으로 내용을 알필요가 없어 하루에 시간이 되는대로 관심이 가는 내용부터 읽을수 있는 점도 좋았다. 요즘에는 프레임워크들에서 기본적으로 제공하는 해킹에 취약할수 있는 기능이 워낙에 좋아 SQL Injection 과 같이 문자열로 들어오는것들에 대해 escape 문자처리 가 자동으로 되어있어 실제 어떤식으로 공격이 들어오는지 모르고 있었는데 이책을 통해 이런 자주 듣지만 실제로 프로젝트에서 실습하기는 어려운 상황인데 이것을 통해 기초적으로나마 해킹이 어떤식으로 진행되는지 알수 있었다. 물론 실전에서는 이렇게 간단한 방식으로 진행되지 않을거라 생각되지만 기초적인 해킹흐름에 대해 감을 익힐 수 있는 것만으로도 개발자로서 큰 수확이라고 생각한다.  해킹에 대해 간단하게 맛을 보고 싶은 분들에게는 매우 적극적으로 추천하고 싶은 책이었다.

혹시 이책을 책을 볼까 망설이는 분들 중에 저처럼 비박스라는 처음들어보는 생소한 환경때문에 망설이시는 분이라면 우선 읽어보고라고 권하고 싶다. 위에서 언급했다시피 책내에서 아주 친절하게 설명되어있고 비박스 환경이 결국 해킹을 실습하기 편한 환경을 잡아주는 것이라고 보면 된다.

웹 모의 해킹을 해 볼 수 있는 비박스 환경을 가상머신에 설치하고, 취약점 진단 목록별로 웹 해킹 실습을 해 볼 수 있는 책입니다. 이 책에서는 비박스 환경에서 제공하는 소스코드를 차례차례 다루면서 php로 만든 웹사이트에서 발견되는 보안 취약점들을 어떻게 해결할 수 있는지 정리하고 있습니다. 웹 개발 시에 어떻게 신경을 써서 보안을 할 수 있는지 기초를 제공해 줍니다.

비박스는 OWASP Top 10 2013이라는 웹 애플리케이션 보안 취약점을 실제로 체험해 볼 수 있게 구성되어 있습니다. 이 책은 비박스 환경과 칼리 리눅스를 가상머신인 버추얼박스에 설치하고 버프스위트 등을 설치하는 방법부터 설명하고 있어서 초보자가 따라하기 쉽습니다. 그리고 취약점 분류대로 ‘인젝션’, ‘인증 결함과 세션 관리’, ‘크로스 사이트 스크립팅’ 등의 개념을 설명하고, 비박스 튜토리얼을 상/중/하로 따라가며 실행해 볼 수 있어서 좋습니다. 

굳이 비박스를 설치해서 따라하지 않더라도 각 취약점이 무엇을 의미하고, 그 취약점에 대한 해결책이 무엇인지 이론적으로 아는 것도 이 책을 통해 할 수 있을 것 같습니다. 보안에 대해 잘 모르는 초보 웹 개발자에게 이 책을 추천합니다.

다만 이 책에서 설명하는 비박스 환경의 소스코드는 PHP에 종속되어 있는 듯 보여 조금 아쉬웠습니다. 그리고 어떻게 취약점을 해결하는지 설명하는 어투가 비박스 소스코드에서는 어떻게 해결하고 있는지와 개발자가 어떻게 처리해야 하는지가 뒤섞여 있어서 살짝 매끄럽지 못하고 이해하기 어렵다는 생각이 들었습니다.

비박스로 직접 웹 모의 해킹을 하면서 웹 애플리케이션에서의 보안 취약점을 확인해 보는 책이라 웹 개발 실무에 많은 도움이 될 것 같습니다. 시중에 나와 있는 보안 책들은 이론적인 것만 치중하는 경향이 있는 것 같고, 막상 실무에 직접 적용하기가 어렵다는 생각을 했는데, 이 책은 분량도 적당하고 들어가야 할 내용이 다 들어가 있어서 웹 개발 시 자주 볼 것 같습니다.

요즘은 너무나도 많은 보안 취약점이 계속 나오고 있는데, 이런 분위기에 맞추어서 보안 책들의 종류가 더 많이 늘어났으면 좋겠습니다. 이 책은 웹이라는 것을 하나로 보고 웹 보안을 설명하고 있는데, 웹이라는 것의 영역도 굉장히 광범위하기 때문에 세세한 부분에서의 보안을 설명하는 책들도 만나볼 수 있으면 좋겠습니다.

개인정보 유출 등 보안 사고가 뉴스에 보도되면 누구나 해킹, 보안 관련 분야에 관심을 갖게 되는데요.

저 또한 관심은 있었지만 접해보지 않았던 분야입니다.

비박스는 웹 취약점 공격을 공부하기 위해 만들어진 오픈소스 웹 애플리케이션 bWAPP가 설치된 가상환경입니다.

 비박스 환경...? 뭐지? 책 제목을 보고도 이게 무엇인지 몰라 과연 읽을 수 있을지

걱정되었지만 결과를 먼저 이야기하면 초보도 쉽게 할 수 있는 책입니다.

모든 책이 그렇듯 책의 처음에는 실습 환경을 구성합니다.

그리고 OWASP Top 10 의 항목을 기준으로 공격 기법에 대한 내용과 그에 대한 대응 방안이 소개됩니다.

공격 기법과 대응 방법, 취약점에 대해서 단순히 글로 표시되는 것이 아니라

그림과 캡쳐 화면을 통해서 이해를 비교적 쉽게 할 수 있었습니다.

실제 업무에서는 일정 시간 내에 기능 구현에 중점을 두기 때문에

로그인, 개인정보 등 암호화에는 이전에 사용했던 코드를 사용하는 경우가 많아서

실제 취약점 코드를 다룰 일이 없는데

이 책을 통해서 공부하고 나중에 문제 발생 시에 어느 정도의 취약점은 해결할 수 있지 않을까? 하는 생각이 들었습니다.

책에는 난이도를 나누어 설명하는데 하/중 난이도에 대해 다루니

초/중급 개발자 보기에 좋은 책이지만 고급 개발자 분들은 이걸 보면 너무 쉽게 느껴지려나? 하는 생각이 들었습니다.

저와 같이 관심은 있으나 보안.. 어렵지 않나? 하고 미리 겁먹고 있는 분들이 계시다면

이 책을 추천해드리고 싶습니다.

프로젝트를 경험하면서 정보보호, 보안 등이 필요한 경우는 비일비재하게 접해왔다.

로그인 암호화, 개인정보 암호화, SQL인젝션 방지까지.. 초급이었던 나는 전임자들이나 선배들이 짜놓은 코드를 카피앤페이스트 하기 바빴던 것 같다.  하지만 점점 시간이 지나면서 내가 스스로 그런 코드를 짜야되는 연차가 되면서 부터 그동안 방임해왔던 보안에 대한 나의 무지들이 버겁게 느껴졌고 그래서 선택하게 된것이 이 책이다.

이 책은 참 친절하다. 비박스라는 환경을 처음 접해보는 나조차도 큰 부담없이 실습할 수 있도록 순서에 따라 화면들을 보여줘서 쉽게 공부할 수 있었다. 가히 저자들의 노고가 느껴지는 캡쳐들이다. 거기에 각각의 기법에 대해 대응방안을 보여주기 때문에 어떻게 대처해야할지 감을 잡을 수 있다. (여기서 말하는 난이도는 각 기법들에 대한 대응 난이도인것같다) 실무에서 일을 하다보면 정보암호화, SQL인젝션 방지를 위한 필터처리,XSS 등에만 힘을 쏟기 마련인데 여기에는 그동안 접해보지 못했던 다양한 웹해킹 기법들과 대응책들이 나열되어있어 열심히 공부해두면 프로젝트하면서 아는척하기 참 좋은 지식들이다. 

다만 한가지 아쉬운점이 있다면 한빛 홈페이지에 책소개가 너무 아쉽다! 이 책의 장점이 친절한 화면 캡쳐를 통해 초보자도 쉽게 따라갈 수 있는 설명과 구성인데, 그냥 줄글로만 나열해놓아 비박스 환경을 처음 접하는 사람에겐 어렵다고 생각될 수 있을 것같다. 

기억에 남는 부분을 꼽자면 BASE64 복호화부분을 들수 있겠다. 올해 초 오픈했던 모 기업 커머스사이트가 있는데, BASE64로 개인정보가 암호화되어있다. 이 책에서 가이드하는 것처럼 sha2로 해시함수를 사용하지는 않았던 것 같다. 이제라도 알았으니 앞으로는 열심히 보안관련 지식을 쌓아 좀더 개인정보 보호에 신경써야겠다는 생각이 든다. 보안을 전공하는 남동생에게 이 책을 보여줬더니 이미 학교에서 다 배운 지식들이라고 한다. 그만큼 기초적인 책이다. 이제 처음 웹개발을 시작하는 사람들이나 나처럼 웹개발을 하고 있지만 보안에 대한 무지가 밤잠을 설칠정도의 걱정을 불러일으키는 사람들이라면 일독을 권한다. 

본 책을 E-book으로 읽게되었다. 아이패드를 가지고 있었지만 사실 아이패드로 책을 처음부터 끝까지 다 읽어본 것은 처음이었다. 이제서야 비로소 아이패드를 스마트하게 쓴 기분을 느꼈다.ㅎㅎ

비박스(bee-box)란 웹 어플리케이션에서 자주 발생하는 취약점을 쉽게 테스트할 수 있도록 의도된 환경을 제공한다. 정확한 명칭은 bWAPP이며, 이를 가상머신의 형태로 꾸며놓은 것을 비박스라고 부른다. 사실 이러한 취약점 테스팅 서비스는 비박스가 처음으로 등장한 것은 아니며, 대표적으로 DVWA이나 WebGoat(OWASP 프로젝트)와 유사하다. 앞선 두가지를 모두 테스트해본적이 있는데, 그에비해 비박스가 가지는 장점은 실습해볼 수 있는 컨텐츠의 양이 절대적으로 훨씬 더 많다는 것이다. 여기에 난이도 조절이 3단계로 가능하므로 조금 더 폭넓은 모의해킹 연습 훈련소로 활용할 수 있다.

본 책에서는 웹 모의해킹을 실습할 수 있는데, 과연 그  '실습'의 기준은 무엇일까? 대한민국의 행정안전부 '소프트웨어 보안약점 진단가이드(2012)'에서는 소프트웨어의 취약점 진단항목을 43개로 규정하고 있다. 하지만 이는 사실 OWASP(The Open Web Application Security Project)의 취약점 Top 10 항목을 확대하고 재구성한 것으로 보인다. 따라서 OWASP 항목들을 기준으로 깊이있게 학습하고 관련내용을 실습해볼 수 있다면 웹 모의해킹을 보다 쉽게 이해할 수 있다. 

이 책의 진정한 장점은 각 실습마다 모든 화면을 스크린샷으로 촬영하여 첨부한 것이다. 사용자는 책의 가이드대로 진행하다보면 어렵지 않게 실습을 따라할 수 있다. IT 서적의 경우 독자가 적당히 따라올 것으로 예상하고 진행하는 경우가 있는데, 사실 모든 독자의 눈높이를 예측할 수 없기 때문에 되도록 자세히 설명해주는 것이 좋은 책이라고 생각한다. 만약 책을 열심히 따라했는데 예상치못한 화면을 마주한다거나, 책처럼 실행이 되지 않는다면 얼마나 당혹스러울것인가. 이 책은 아래 그림과 같이 스크린샷에 빨간 사각형으로 표시를 하는 등 세심한 배려를 해주었다.