보안프로젝트를 이끌고 있는 조정원씨가 이끄는 팀에서 나온 새로운 웹 모의해킹과 침해대응에 대한 책이다.

웹보안 국제표준기구인 OWASP에서 제공하는 오픈소스 기반의 웹 모의해킹도구인 ZAP(OWASP-ZAP)을 이용한 모의해킹 방식을 설명하고 있다.

기본적으로 OWASP-ZAP과 더불어

모의해킹을 연습하기 위한 가상환경을 제공하기 위한
메타스프로이터블2(metasploitable2)

침입탐지 솔루션인
시큐리티 어니언(Security Onion)

을 함께 구축해서

웹 모의해킹(모의침투)와 그에 대응하는 침입탐지 및 로그분석 기법을 함께 다루고 있어

공격자뿐 아니라 방어자 (보안 담당자) 입장에서도 바라볼 수 있도록

균형잡힌 내용을 다루고 있다.

책의 상당부분은 기술문서라서

웹크롤러인 스파이더와 에이잭스 스파이더

퍼징과 페이로드 테스트를 위한 퍼저 (Fuzzer)

이벤트 처리기 스구일 (sguil)

침입탐지 이벤트 분석기 스노비 (Snorby)

로그관리 솔수션인 엘사 (ELSA)

침입타지도구인 스노트 (snort)

등의 도구를 설치하고 활용하는 방법들에게 할애되어 있지만

OWASP에서 다루고 있는 웹취약점에 대해
취약점 진단 및 침입탐지 기법에 대해 설명하고 있다.

마지막으로 이런 도구를 실제로 모의침투에서 활요하는 방법을 설명하기 위해

윈도우 파워쉘을 이용한 모의침투 시나리오 구성방법을 제공하고 있다.

보안 중요성은 날로 더 커져만 가고

다양한 보안 취약점에 대해 보안입문자가 실습할 수 있는 환경을 혼자 구성하기가 쉽지 않지만

이책을 이용하면 오픈소스만으로 자신만의 웹보안 실습환경을 효과적으로 구성할 수 있을 것으로 보여진다.

보안에 숙련된 이들이 모여 지은 책.

주로 OWASP-ZAP, 시큐리디어니언, 메타스플로이터블2 같은 오픈소스를 기반으로 한 탐색 툴로 보안을 진단하는 방법을 나열하고 있다. 이를 통해 XSS나 포트스캔, 패킷 탐지, 웹 취약점(익스플로잇) 같은 일을 수행하여 공격에 대한 사전 점검 혹은 실시간 탐지를 하는 방법을 소개하고 있다.

실제 운용을 했던 경험을 기반으로 쉽게 풀어 써 나가고, 친절한 스크린샷들이 다수 존재하는 점에서는 매우 좋았던 부분이다. 부록으로 윈도우 파웨쉘 설정같은 팁같은 부분도 포함이 되어있어 실제로 유용하게 사용하고 있다.

다소 아쉬웠던 부분은 실제 사례나 경험담이 조금 필요하지 않을까 싶다.

책의 주제에 맞게 거의 대부분이 툴 킷의 설치 및 설정, 운용에 관한 내용인데

이 툴틀을 이용하게 된 이유 혹은 실제 경험담을 조금 실어 주었더라면 조금 더 흥미롭게 되지 않을까 란 생각이 들었다.

툴은 아무래도 시간이 지남에 따라 UI나 설정 방법이 상이해 지기 마련이어서 조금은 원론적이거나 개념적인 부분이 곁들여 졌어도 좋았으리라 생각한다.

당장의 보안 테스팅이나 포트 설정같은 부분을 적용해야 한다면 정말 강력 추천하는 책이다. 지금도 당신의 서버는 공격당하고 있을지 모르니까 말이다.

직접적으로 보안 장비나 솔루션을 다룰 수 없는 현실적 제약이 있는 사람들을 위한 책이라 할 수 있다. 오픈 소스를 통해서 보안 솔루션에 감각을 익힐 수 있도록 도와주는 안내서다. 국내에서 잘 알려지지 않은 OWASP-ZAP과 시큐리티 어니언을 소개한다. 보안 전문가가 되려는 사람들은 처음에 방향을 잡지 못해 애를 먹는 경우가 상당히 많은데 이 책이 좋은 길잡이가 될 것이라 생각한다. 

이 책의 첫인상은 친절함이다. 나 같은 보안에 전문지식이 없는 사람도 이해하기 쉽게 설명한다. 책 끝에서도 느껴지는 친절함. 보안 입문서로써 더할나위 없이 훌륭하다.

마지막 챕터에서는 실전과 같은 모의 침투를 통해서 공격에 대한 이해와 대처법을 알아본다. 해당 챕터는 해킹과 보안에 흥미를 유발하는 재미있는 챕터다.

오픈소스 도구를 활용한 웹 모의해킹과 침해대응이란 책에 대한 리뷰입니다.

이 책을 통해 오픈소스 도구인 OWASP-ZAP 등을 활용하여 취약점을 점검해보며 보안에 대해 공부할 수 있습니다.

이런 다양한 오픈소스 도구과 취약점에 대해 이해하고 

직접 실습하며 활용해 볼 수 있다는 것이 참 좋은 것 같아요.

그리고 최근에 나온 책이라 그런지 최신 자료들로 이루어져 있는 것이 굉장히 맘에 들었습니다.

일단 책을 보면 처음부터 끝까지 화면 하나하나 캡쳐가 되어있습니다.

프로그램 설치 방법에서 부터 정상동작 하는 화면까지...

초보자들이 쉽게 배우고 따라할 수 있어서 아주 좋을 것 같습니다.

또한 오픈 소스 점검 툴의 장점, 단점, 특징 등을 자세히 설명해주기 때문에 쉽게 이해할 수 있을 것 같습니다.

개발하고 있는 사이트에 대해서 직접 모의해킹을 해보기 위해 손에 넣음.

전체부분을 정독하는 대신 딱 궁금한 부분만 봤음. (OWASP-ZAP파트) 

메뉴소개 중심으로 설명이 잘되어 있긴 한데 실용적으로 사용하기엔 채워지지 않는 뭔가가 있음.
어쩌면 행간에 뭔가를 놓치고 있는걸지도 모르겠음.

모의해킹용 사이트 말고, 뭔가 다른걸로 실험해보는게 있었으면 더 도움되지 않을까 싶음. 

전체적인 글씨 크기는 읽기에 편안했고, 군더더기 없는 스타일로 작성되어 있음. 

e-book으로 봐서 두께는 가늠안됨.

오픈소스 도구인 OWASP-ZAP 를 통한 모의해킹을 다루고 있다. ZAP의 기능을 활용한 웹 서버도 무료로 배포되고 있는 메타스플로이터블2를 사용하고있다. 침입탐지 도구로는  스노트를 사용하고있다. 더불어 시큐리티 어니언을 활용하여 실무처럼 침입 탐지 이벤트를 분석한다.

개인적으로는 파워쉘을 이용하여 다른 곳의 PC에 침투하여 여러가지 정보를 열람하거나 조작할 수 있는 부분이 흥미로웠다. (물론 다른 타입들의 스크립트들로 충분히 가능했고, 가능하다. 그래서 고객들의 스크립트 언어의 사용을 서비스 제공사들에서 제한하고 있는 것으로 생각된다.)

인터넷을 활용한 침투 시도는 계속해서 일어났고, 앞으로도 끊임없이 일어나리라 생각한다. 오픈소스 도구를 활용한 이런 배움과 경험은

해킹과 보안에 대한 기본적인 이해에 도움을 주리라 생각한다.

첫 장을 읽기도 전에
아, 전문 지식 필요한 책인 거 아냐? 라는 것이 첫 감상이었다.
그러나 이 책의 저자들은 이런 나를 잘 아는 것인지
발을 맞춰 걸어가주려고 노력한 것 같다.

내가 이해 못할 것같은 부분에 설명을, 불친절하게 성공 케이스의 사진만 툭 넣어둔 것이 아닌 오류 화면의 사진도 넣어놨고 이 경우 왜 그런지도 알려준다.

총 4장으로 구성되었고,
1,2,3,4장의 연계가 잘 되어있다고 생각한다.

그러나 4장이 짧게 끝나는 것은 약간 아쉽다. 1,2,3장을 지나 모의 실습을 해보고 싶었던 사람 중에선 약간 더 설명, 또는 문제를 함께 풀이함으로서 익히는 사람도 있지 않을까 생각한다.

안녕하세요. 좋은 책을 리뷰하게 되어 감동입니다.

웹 모의 해킹과 침해 대응에 꼭 필요한 책이군요. *^^*

책 제목은 : < 오픈소스 도구를 활용한 웹 모의해킹과 침해대응 > 이라는 도서입니다.

1. OWASP-ZAP를 설치하기 위해서는 아래래와 같이 JAVA JRE 를 설치해야 합니다.

http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=OWASP_Top_10_for_2013

설치가 되면 아래와 같이 OWASP-ZAP를 실행할 수 있습니다.

원도우 IP를 설정합니다. VMware 가상머신의 NAT ip 주소를 미리 설정해야 합니다.

다운받은 메타스플로이터블 2를 vmware에서 실행 시킵니다.

책에 자세히 니와 있기 때문에 자세한 설명은 생략하도록 하겠습니다.

↑Metasploitable 2 설치가 최종 확인되면 위와 같이 로그인 접속을 할수 있습니다.

<오픈소스 도구를 활용한 웹 모의해킹과 침해대응>

도서의 내용을 따라서 실습하기 위해서는가장 중요한 부분이 설치하는 부분과 환경 설정입니다.

네트워크에 대한 어느 정도의 기본 지식을 가지고 있다면 쉽게 그림 동화책을 보는 느낌으로

실습을 진행 할 수 있다고 생각됩니다.

참고로 저는 다이나밉스로 네트워크를 구성해 보았으며 책의 내용 처럼 가상의 모의해킹 환경을

만들어 놓고 실습하면 좋을 것 같습니다.

초보자가 읽기에는 약간의 설치시 어려움이 있으나 인터넷으로 검색하여 하나씩 해보면

쉽게 그림을 보듯 설치와 환경 설정을 할 수있는 내용으로 잘 작성된 것 같습니다.

"정보보안과 모의해킹에 꼭 필요한 실습형 도서라고 생각합니다."

  좋은 책을 볼수 있어서 감사합니다.

아래는 다아나밉스 가상의 네트워크 라우팅 환경을 만들어 놓은 상태로 책의 내용을 활용하여 실습하고자 합니다.

이공계 컴공이 보기에 딱 적합한 책이군요.

실습 위주로 기술된 메뉴얼 같은 책~!!!

이 책은 웹 모의해킹과 침해 대응 관련으로 활용서이다. 책은 활용하는 오프소스 툴들과 이를 활용한 모의해킹 방법과 침해대응 방법에 대해서 소개하고 있다.

이책을 보면서 제일 먼저 고민을 하게 된 것은 어떻게 실습 환경을 구성할 것인가에 대해서 고민을 하게 되었다.

침해 대응을 연습한다고 초가 삼간을 다 태울 수는 없으니까.

그래서 아래와 같이 구성을 하고 집에 공간만 차지하고 있는 아이맥을 활용하기로 하였다. 

덕분에 2010년형 아이맥에 실습 환경을 구성하느라 시간을 많이 허비하긴 했다.

(그래도 아직 잘 돌아가는 걸 보면 튼튼하게 잘 만들었구나 하는 생각이 들었다.)

실습 책을 따라하다가 보면 아래와 같이 공격을 시도할때 가슴이 두근두근 거릴때가 있었다. 그래서 실습을 할 때는 만일에 사태에 대비하기 위해 실습 장비의 네트워크를 기존에 인터넷을 하는 선과 완전히 분리해서 사용을 하였다. 덕분에 먼지 가득한 창고에서 네트워크 선과 공유기를 찾느라 힘들었지만.

그래도, 모의 침투가 성공했을때의 기분은 간만에 짜릿했다.

(그렇다고 내가 실제 사이트를 대상으로 하겠다는 의미는 절대 아니다!!)

요즘 늘어가는 책에 책장을 더 구매를 해야 되나 이 책을 한번 팔고 다시 채울까하는 생각이 많이 들었는데 전자책이어서 아주 맘에 들었지만, 페이지가 조금 아쉬웠다. 마치 "흠.. 이거 맛있는데 조금 더 먹어볼까" 했을 때 다 먹고 없는 아주 크기가 작고 맛있었던 음식처럼 말이다.

이 책은 기본 지식(네트워크 설정, OS 설치, 기타 등등)이 없는 초보자들에게는 약간 버거울 수 있으나, 구글링에 도움을 받는 것을 꺼리지 않고 도전해보고 싶은 독자라면 한 번쯤 집에서 다양한 침해대응을 위한 툴을 써보거나 모의 침투를 해보면서 짜릿함을 느끼는 것도 나쁘지 않을 것 같다. 

 이번 도서리뷰 이벤트로 받은 책은 위와 같고, e-book 입니다.

초반부에는 저자 소개 다음에 저자들의 글이 실려있는데, 나름 재미있는 요소인 것 같습니다.

그리고 목차로 들어가기 전, 책에 대한 전체적인 내용을 예고하고 정리해주는 글이 있는데, 본격적으로 책을 읽기 전에 심호흡하며 읽기 좋은 글이라고 생각됩니다.

목차를 보면, 파트는 총 4개이고, 환경을 소개하고 구성하는 법부터 시작해서 도구들의 기능을 설명하고 도구들을 사용해서 웹의 취약점 진단, 스노트 분석 후 모의침투를 실습해본 뒤 책이 끝나게 됩니다.

 파트1은 저자분들이 많이 피곤하셨겠구나 싶을 정도로 자세하게 순간순간마다의 캡쳐본과 설명이 되어있어서 쉽게 따라갈 수 있습니다. 그만큼 정성들여 작성한게 아닌가, 어떻게 보면 과할수도 있겠다 싶은 정도일 수도 있습니다. 하지만 환경구성은 정말 중요하고, 환경을 구성하지 못하면 아무것도 할 수 없기 때문에 자세하게 작성된 것이 당연할 수도 있습니다.

 환경을 구성하고 나면 파트2로 넘어가서 파트1에서 설치한 도구들의 인터페이스와 기능들을 자세히 설명하고 있습니다. 다만 내용이 너무 많아서 익히기는 쉽지 않을 것 같네요. 이건 저자분들이 아닌 독자들의 몫이니 넘어갑시다. 그리고 좀 어려운 내용인 정규표현식에 대한 부분이 있는데, 예제를 통해서 이해를 돕는 부분은 저자분들의 배려가 돋보이는 부분이 아닌가 합니다. 

 도구들에 대해 알아본 뒤 웹 취약점을 진단하고 스노트 분석에 대한 내용이 이어지는데, 저자분들이 설명을 잘 해놓은 것 같지만 아무래도 생소한 내용이라 잘 와닿지는 않았습니다. 어쨋든 다양한 취약점에 대한 패턴확인과 스노트 분석을 잘 설명 해 놓았습니다.

 마지막에 비로소 모의침투를 실습해보게 되는데, 시나리오를 간단한 그림으로 설명하는 것으로 시작하여 다운로드, 사용방법들이 설명되어 있고 천천히 책을 따라가다보면 어렵지 않게 실습할 수 있습니다.

전체적으로 사용하는 환경을 설치하는 방법부터 사용하는 방법, 그리고 이를 활용하는 내용 등 책은 잘 쓰여져 있습니다. 다만 보안에 대해 지식이 부족한 분들은 단순히 따라하는 것 이상의 효과를 얻을 수 없기 때문에, 이 책을 읽기 전 보안에 대한 기초적인 내용을 습득한 뒤 책을 읽으면 아주 좋은 책이 될 것이라 생각합니다.

안녕하세요^^

좋은 책을 소개해주셔서 리뷰를 작성합니다.

제목에 있는 것처럼 <오른소스 도구를 활용한 웹 모의해킹과 침해대응>이라는 도서입니다.

책의 구성

첫 장에는 우리가 실습을 할 수 있도록 환경을 구축하고 설치할 수 있도록 도와주는 내용이 담겨있다.

Part 2는 각각의 도구들을 사용할 때 어떤 기능들을 사용하고 활용할 수 있는지 소개하는 파트이다.

Part 3은 본격적으로 지금까지 설치하고 기능을 공부했던 것들로 취약점을 분석하는 흥미로운 파트이다.

마지막인 종장은 파워 셸이라는 강력한 셸 스크립트 언어를 이용하여 용도에 맞게 스크립트를 작성하고 이용하는 장으로 마무리가 됩니다.

이 책을 읽고 실습을 하기 위해서 필요한 것에는 오픈소스로 무료인 OWASP-ZAP, Metasploitable 2, Security Onion이 사용된다.

OWASP-ZAP의 설치했을 때 초기 화면이다.
이 프로그램은 침입탐지 이벤트가 기록되고 이것을 설명할 때 사용됩니다.

Metasploitable 2를 VMware에 설치했을 시 나오는 로그인 화면이다.
이것은 일부러 우리가 모의해킹을 연습할 수 있도록 취약하게 만들어놓은 가상머신입니다.

Security Onion을 설치하는 화면이고요.
이 프로그램은 리눅스 기반으로 된 네트워크 보안 모니터링과 침입 탐지 시스템의 역할을 하기 위해 필요합니다.

처음 차례를 보고 느낀건 '책을 다 읽을 수 있을까?' 였다. 

보안쪽 공부를 해본적이 없어서 익숙한 단어가 하나도 없었다.

시간날때 틈틈히 읽어야지라는 생각으로 가볍게 읽었다. 

이 책은 파트가 4개로 나눠져있는데 첫 파트는 설치 부분이다.

설치부분이 좀 많내? 라고 생각했는데 아주 자세히 나와있어서 나 같은 초보에겐 큰 도움이 될거같다.

뭔가 컴퓨터로 배우려고 할때, 설치에서 막히면 그것보다 답답한건 없는데 여긴 아주 자세히 되있어서

설치하고 나서도 다시 설치해야할때 참고하면  도움이 될 것 같다.

참고로 설치하는 것들은 

웹 스캐너: OWASP-ZAP

네트워크 보안 모니터링 장비: 시큐리티 어니언Security Onion

테스트 웹 서버:  메타스플로이터블 2Metasploitable 2