웹 애플리케이션 해킹 대작전

해커는 여러분의 웹 사이트, 웹 애플리케이션, 웹 서비스를 무차별적으로 공격한다. 보안 취약점이 있다면 해커가 공격하기 전에 먼저 발견하고 조치를 취해야 한다. 이 책은 여러분에게 확실하고 실질적인 보안 테스팅 가이드 역할을 해줄 것이다.


[ 이 책의 내용 ]
이 책에서는 웹 소프트웨어 공격의 각 주제(클라이언트, 서버에서의 공격, 상태, 사용자 입력 공격 등) 별로 두 명의 유명한 보안 전문가가 조언을 해준다. 웹 애플리케이션 구조와 코딩에 존재할 수 있는 수십 개의 결정적이고 널리 악용되는 보안 결점들을 파헤쳐 나가면서 동시에 강력한 공격 툴들의 사용법을 마스터해나갈 것이다. 이 책의 저자들은 잠재적인 위협과 공격 벡터를 어디서 찾아야 하는지, 그것들을 어떻게 철저하게 테스트할 수 있는지, 그리고 여러분이 발견한 보안 취약점을 어떻게 방어해야 하는지 설명하고 있다.

주요 내용
• 클라이언트에서의 검증 회피 공격
• 상태 기반 공격: 숨은 필드, CGI 인자, 쿠키 조작, URL 건너뛰기, 세션 가로채기 공격
• 사용자 입력 데이터 공격: 크로스 사이트 스크립팅, SQL 삽입, 디렉토리 노출 공격
• 언어와 기술 기반 공격: 버퍼 오버플로우, 정규화, NULL 문자열 공격
• 서버 공격: 저장 프로시저를 이용한 SQL 삽입, 명령 삽입, 핑거프린팅 공격
• 암호, 프라이버시, 웹 서비스 공격


[ 이 책의 대상 ]

여러분이 개발한 웹 소프트웨어는 매우 중요하고 절대 위험에 노출되어서는 안될 것이다. 이 책을 읽는 독자가 개발자, 테스터, QA 전문가 또는 IT 관리자 등 어떤 일을 맡고 있든 간에 웹 애플리케이션을 체계적으로 보호하는 데에 많은 도움을 받을 수 있을 것이다.


[ 부록 CD 포함 ]
- 각종 무료 웹 보안 테스팅 툴
- 직접 기능을 확장하고 변경 가능한 툴의 전체 소스를 하나 제공함
- 웹 사이트의 보안 취약점을 직접 테스트 할 수 있도록 보안 취약점을 갖고 있는 웹 사이트의 전체 코드

[ 저자 서문 ]

우리는 지금까지 How to Break.. 시리즈의 다음 책은 어떤 주제에 관한 것이고 언제쯤 그것이 출판될 것인지에 대한 질문을 많이 받아왔습니다. 새롭게 다룰 주제에 대해 우리 독자들 중에서 압도적인 비율의 사람들이 웹 애플리케이션에 대한 주제가 다뤄지기를 바랬습니다. 많은 소프트웨어 테스터들이 이 분야에서 일하고 있으며 앞으로도 계속해서 웹 애플리케이션 자체의 특별한 프로토콜이나 언어를 테스트하게 될 것입니다.

이미 출판된 『How to Break Software』(Addison-Wesley, 2002)와 『How to Break Software Security』(Addison-Wesley, 2003)에서 다룬 내용 중 많은 부분을 웹 애플리케이션에 적용할 수 있기는 하지만, 인터넷이라고 하는 특별한 환경에서 작동하는 웹 애플리케이션은 그 나름대로의 고유한 문제점들을 만들어 냅니다.

이 책은 그러한 문제점들을 웹 애플리케이션의 보안 이슈 측면에서 어떻게 풀어나가야 하는지를 설명합니다. 이 책이 다루는 내용이 무엇인지 말하기 전에 먼저 이 책이 다루지 않는 것이 무엇인지 설명하겠습니다. 이 책은 『Hacking Exposed』에서 다룬 내용을 그대로 답습하지는 않을 것입니다. 물론 중복되는 해킹 기법이 있을 수 있습니다. 하지만 우리의 목적은 웹 서버나 웹 애플리케이션을 해킹하는 방법을 알려드리고자 하는 것이 아닙니다. 우리의 관심사는 그런 해킹 공격에 악용되기 쉬운 일반적인 결함을 테스트하는 방법에 있습니다.

『웹 애플리케이션 해킹 대작전』은 소프트웨어 개발자, 테스터, 관리자, 품질보증 전문가들이 해커들의 공격을 막는 데 도움을 주기 위한 책입니다. 따라서 이 책에는 해킹 기술에 대한 설명이 포함되어 있습니다.

결국 해커와 맞서기 위해서는 해커가 사용하는 해킹 기술에 대한 이해가 필수적이기 때문입니다. 그래도 이 책은 해킹에 대한 책이라기보다는 테스팅에 대한 책입니다. 이 책의 목적은 문제가 발생하기 쉬운 웹 애플리케이션을 어떻게 테스트하는지 안내하고 문제가 발생할 수 있는 원인을 근절하는 데 있습니다.

아울러 이 책은 웹 애플리케이션을 설계하고 코딩하는 방법을 설명하기 위한 책이 아닙니다. 이런 주제에 대해서는 『Innocent Code』 같은 책에서 잘 다루고 있으며, 각 개발 플랫폼에 따라서 웹 애플리케이션 개발 방법론이 다르다는 것이 고려되어야 합니다. 『웹 애플리케이션 해킹 대작전』은 웹 애플리케이션을 설계하고 코딩하는 데에 있어서 주의해야 할 많은 정보를 포함하고 있습니다. 따라서 웹 개발자는 그들의 안전한 웹 프로그래밍을 위해서 이러한 정보들을 참조해야 합니다.

또한 이 책은 웹 애플리케이션 테스터가 특정한 공격에 대해 자신의 애플리케이션을 테스트하는 데 도움을 주고자 합니다. 우리는 악의적인 입력, 검증을 우회하는 방법 그리고 허가 검사에 대한 전형적인 예뿐만 아니라 특정한 설정/언어/구조로부터 어떤 문제점들이 발생하는지 살펴볼 것입니다. 어디에서 문제점을 찾을 것인지, 발견한 문제점을 어떻게 테스트 할 것인지, 그리고 그런 문제점들이 발생하지 않게 하려면 어떻게 해야 하는지, 이러한 모든 것을 간단한 형태로 보여줄 것입니다. 『웹 애플리케이션 해킹 대작전』은 웹 기반 애플리케이션을 테스트하기 위해 필요한 정보와 영감을 얻을 수 있는 종합 백화점 같은 역할을 하고자 합니다.


[ 저자 소개 ]

마이크 앤드류스
소프트웨어 보안 전문가인 마이크는 Foundstone의 선임 컨설턴트로서 재직 중이며 웹 애플리케이션 보안 평가와 Ultimate Web Hacking 교육을 담당하고 있다. 관련 분야에 대한 집필과 강연자로서의 왕성한 활동을 하고 있으며 포춘 500대 기업에 드는 다양한 기업에 대한 독자적인 보안 점검을 수행했다.

제임스 A. 휘태커
플로리다 공과대학의 컴퓨터공학과 교수로서 Security Innovation의 설립자이기도 하다. 그의 소프트웨어 보안과 테스팅에 관한 방법론은 보안 의식이 있는 수백 개 기관에서 널리 사용되고 있다. 『How to Break Software』(Addison-Wesley, 2002)와 『How to Break Software Security』(Addison-Wesley, 2003, Hugh Thompson과 공저)를 집필했으며 관련 전문 잡지 등에 많은 글과 논문을 발표했다.


[ 역자 서문 ]

오늘날 우리는 인터넷이 없으면 아무것도 할 수 없고, 인터넷 없는 생활은 상상하기 힘들 정도로 세상은 급속히 변화해가고 있다. 인터넷, 웹은 앞으로도 우리에게 무한하고도 잠재적인 기회의 장이며 웹으로 인해 우리의 삶 또한 엄청난 영향을 받을 것이다. 일반적으로 우리는 인터넷의 기능성에 의해서 많은 혜택과 편리함을 영유하고 있는 것이 사실이다. 하지만 절대 간과해서는 안 되는 것은 인터넷이 양날의 칼과 같은 존재가 될 수 있다는 것이다. 인터넷이 악의적으로 사용된다면 그에 따른 파장은 상상하기 힘들 정도다. 극단적으로 ‘재앙’이라는 단어를 사용하는 것도 그렇게 무리는 아닐 것이다. 지금도 그렇지만 앞으로는 모든 정보의 흐름이 인터넷을 통해서 이뤄질 것이고, 인터넷의 모든 정보를 제어하는 빅브라더의 출현이 현실로 다가올 수도 있을 것이다.

우리는 지금까지 인터넷이 주는 햇살만을 받아왔다. 아니 정확히 말하자면, 인터넷의 음지를 많이 경험해보지 못했다는 표현이 맞을 것이다. 하지만 요즘에는 언론 매체나 다양한 경로를 통해 인터넷을 통한 피해 사례가 증가하고 있음을 알 수 있다. 그러한 인터넷의 음지는 곧 ‘보안’이라는 이슈에 귀착된다. 지금은 인터넷 보안, 다시 말하면 웹 보안이 그 어느 때보다도 중요하고 관심을 받아야 하는 시기이다. 웹에 대한 악의적인 행위는 너무나도 다양하다. 요즘에는 기술적인 취약점을 이용하는 공격보다는 오히려 사회공학적 공격이 더욱더 문제시되고 있으며 그런 공격을 방어하기가 더욱 어려운 것이 현실이다. 지금의 보안은 어떤 시스템이나 기술을 이용한 보안만으로는 부족하며 다양하고 포괄적인 측면에서 접근과 방어가 이뤄져야 한다. 또한 ‘보안’이라고 하면 무조건 어렵다는 선입견에서 벗어나야 하며 누구나 어느 정도의 보안 의식은 가지고 있어야 한다.

그런 의미에서 이 책은 비록 웹 애플리케이션에 대한 보안 주제만을 다루고 있으며 전체적으로 기술적인 내용을 서술하고 있긴 하지만 다른 보안 관련 책에 비해 각 공격 주제에 대해 비교적 쉽고 명확하게 설명하고 있다. 이 책에서 소개하는 공격 방법이 현재의 모든 공격방법을 망라하고 있는 것은 아니지만, 가장 기본적인 공격 방식에 대한 이해가 바탕이 되어야 최신의 공격 방법을 이해할 수 있을 것이다.

이 책은 또한 웹 보안에 대한 명확한 이해와 테스트 방법, 그리고 그에 대한 해결책까지 제시하려 노력하고 있다. 웹 애플리케이션 관련 종사자뿐만 아니라 보안 전문가에게도 웹 보안의 기본을 다시금 되새겨줄 수 있는 좋은 기회가 될 것이다.


[ 역자 소개 ]

윤근용
바이러스 보안업체를 거쳐 현재는 시스템 프로그래머로서 각종 보안 관련 소프트웨어를 개발하고 있다.


[ 추천의 글 ]

웹이 없는 생활을 상상할 수 있을까요?

웹 포털 사이트에 들어가서 뉴스를 보고, 웹 메일 사이트에 접속해 메일을 확인하는 일은 대부분 사람들의 일상사가 되었습니다. 게다가 대부분의 회사들은 홈페이지를 운영하고 있고 자신의 홈페이지나 블로그를 운영하는 일반인도 점점 늘어나고 있습니다. 차세대 웹인 웹 2.0에 대한 다양한 논의가 활발히 이뤄지고 있는 요즘, 웹 서버와 그 위에서 동작하는 웹 애플리케이션을 안전하게 보호하는 것은 현재 보안업계의 가장 뜨거운 관심사 중 하나입니다. 특히 단순한 홍보용 홈페이지뿐만 아니라 기업용 소프트웨어가 점점 웹 기반으로 옮겨가고 있기 때문에 웹의 보안 수준을 평가하고 방어 조치를 취하는 것은 매우 중요한 관심사가 됐습니다.

그런데 웹 개발과 관련된 사람들은 일반적으로 웹 보안에 잘 신경을 쓰지 않습니다. 웹은 단순히 디자인을 예쁘게 하고 내용만 충실히 만들면 된다고 생각하기 때문입니다. 하지만 최근 들어 웹 해킹이 잦아지고 있으며 그 수는 더욱 늘어날 것입니다. 웹 해킹은 일반 해킹보다 비교적 쉽고, 그 효과가 명백히 드러나기 때문입니다. 게다가 웹 해킹을 하기 위해서는 웹 브라우저 말고는 별다른 툴이 그다지 많이 필요하지 않습니다.

『웹 애플리케이션 해킹 대작전』은 자칫 무거울 수도 있는 웹 보안 개념을 매우 쉽게 설명하며, 실제로 웹 사이트의 보안성을 테스트할 수 있는 지침과 공격을 막을 수 있는 도움말, 그리고 예제 사이트를 제공합니다. 책의 내용을 하나 하나 적용해 보고, 취약점을 발견했을 때 이 책에 나온 방어법을 적용한다면, 웹 사이트 해킹을 막는 일이 그다지 어렵지 않음을 알게 될 것입니다. 다른 어떤 웹 보안 책보다도 이 책은 다양한 주제를 알기 쉽게 설명했습니다. 웹 개발자, 관리자, 기획자를 비롯한 웹 개발과 관련된 모든 사람들에게 이 책이 많은 도움이 되기를 바랍니다.

[ p44 코드 부분 ]

6행
if (string.Compare(tag.tagName,?INPUT?,true) == 0)
→ if (string.Compare(tag.tagName, "INPUT", true) == 0)

11행
if (inputTag.type==?hidden?)
→ if (inputTag.type=="hidden")

13~14행
Console.Write(?hidden form field ??+inputTag.name+???+
      ?found. Value is ??+ inputTag.value+?? ?
→ Console.Write("hidden form field : "+inputTag.name+", "+
      "found. Value is : "+ inputTag.value);