이번에 보게 된 책의 이름은 한빛미디어, OREILLY에서 나온 "웹 애플리케이션 보안 (Web Application Security)" 책이다!
요즘 들어, 웹 개발, 반응형을 포함한 모바일 웹앱까지 개발하다 보니 웹 보안에 대해 더 신경을 많이 쓰게 되었는데 마침 좋은 기회가 있어서 이 책을 읽게 되었다.
'정찰, 공격, 방어 세 단계로 배우는 웹 애플리케이션 보안의 모든 것'
이 문장만 들어도 나로선, 어렸을 때부터 정보보안에 관심이 많았던 BOB 준비생이자, 화햇의 꿈나무였던 기억이 새록 나는 것 같다. (지금은 다른 길을 걷고 있지만 😊 비슷하려나?)
- 틈새, Best of the Best 홍보를 스윽
약어 리스트들에, 기본적인 웹 보안에 대한 리스트가 쫙 정리되어 있고, 그거에 대한 설명도 아주 잘 되어있다!
최신 책답게 신규 약어들도 많이 추가되어있으니, 역시 책은 최신 또는 최신 개정판으로 보는 게 매우 이득인 것 같다.
책을 읽다 보면, 전에 정보보안 때 공부했던 기법들이 많이 나온다 🙄 추억도 새록새록...
브루트 포싱 기법은 무작위 대입공격... 오래전에는 많이 사용됐던 기법 중 하나였는데, 요즘은 크게 사용되지 않는 것으로 안다.. (연산도 빨라졌지만.. 경우의 수도 많아졌다.)
조합 가능한 모든 문자열을 하나씩 대입해 보는 방식으로 암호를 해독하는 방법.
브루트 포스 공격(brute force attack) 또는 키 전수조사(exhaustive key search), 무차별 대입 공격(無差別代入攻擊) 등으로도 부른다. 흔히 수학 문제를 원시적으로 푸는 방법인 '수 대입 노가다'의 학술적 버전이다. 주로 암호학에서 연구되는 방법이나, 다른 알고리즘 분야에서도 사용되고 있다.
예를 들어, 4자리 숫자로 된 핸드폰의 암호는 0000, 0001, 0002... 9999 까지 총 1만개(104)의 조합 중 하나이므로, 이를 하나씩 대입해 보면 핸드폰의 암호를 통과할 수 있게 된다. 한 번 암호를 입력해 보는데 5초가 걸린다면, 5만 초, 즉 14시간이면 충분하고, 이를 사람 손이 아닌 컴퓨터로 처리할 수 있다면 1초 이내로 찾아낼 수 있게 되는 것이다.
실제로 DES의 경우, 개발 당시에는 무결점 알고리즘이었으나 컴퓨터 성능이 크게 개선된 지금은 브루트 포스로도 다 뚫린다. 속도는 물론이고, 공격에 필요한 DES 사전 용량 역시 현재의 컴퓨터 환경에선 충분히 감당할 수 있기 때문. 물론 요즘은 세 번 DES를 돌려서 대응한다
출처 : 나무위키
최신 책답게, 요즘 트렌드에 맞는 방식으로도 설명이 매우 잘되어 있음을 많이 느끼게 된 책 중 하나이다.
리액트, 뷰 JS, 앵귤러 JS 등의 현 트렌드에 맞는 JS 기반의 설명이 되어있어서 더 도움이 많이 될만한 책!
대부분, 웹 해킹을 공부하다 보면 접하는 기술 중 기초, 사이트 간 스크립트 (크로스 사이트 스크립팅 - XSS)
가장 기초적인 취약점 공격 방법의 일종으로, 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법을 말한다. 공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며, 보통 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취한다.
공격 방법에 따라 Stored XSS와 Reflected XSS로 나뉜다. Stored XSS는 사이트 게시판이나 댓글, 닉네임 등 스크립트가 서버에 저장되어 실행되는 방식이고, Reflected XSS는 보통 URL 파라미터(특히 GET 방식)에 스크립트를 넣어 서버에 저장하지 않고 그 즉시 스크립트를 만드는 방식이다. 후술 된 내용 대부분은 Stored XSS라고 생각하면 된다. Reflected XSS의 경우 브라우저 자체에서 차단하는 경우가 많아 상대적으로 공격을 성공시키기 어렵다.
크로스 사이트 스크립팅이란 이름답게, 자바스크립트를 사용하여 공격하는 경우가 많다. 공격 방법이 단순하고 가장 기초적이지만, 많은 웹사이트들이 XSS에 대한 방어 조치를 해두지 않아 공격을 받는 경우가 많다. 여러 사용자가 접근 가능한 게시판 등에 코드를 삽입하는 경우도 많으며, 경우에 따라서는 메일과 같은 매체를 통해서도 전파된다. 심지어는 닉네임에 코드를 심기도 한다.
출처 : 나무위키
내가 더 자세한 이야기를 다루면 좋겠지만, 책에 대한 (1) 첫 서술이다 보니 깊게 이야기하는 거보단 참조를 해서 방문하시는 분들이 더욱더 자세히 보실 수 있는 올바른 정보를 제공해드리는 것이 맞다고 하여 나무 위키를 인용하고 있다.
전체적인 웹 해킹의 공격 기술들이 많이 서술되어 있고, 주의사항 및 방법 등이 자세하게 서술되어 있어서 첫 진입해보는 초보분들도 다뤄볼 수 있는 것들이 많이 있다!
더 자세한 내용은 다음 (2) 부터 다루면서 더 많은 내용을 이야기 하면서 기억도 다시 나고 즐겁게 책 리뷰 포스팅을 할 수 있을 것 같다!
해당 도서는 서평단으로 선정되어
책을 제공받아 주관적으로 작성된 리뷰입니다.