화이트 해커를 위한 웹 해킹의 기술

1부 웹 모의해킹 준비

1. 웹과 HTTP 기초
웹 아키텍처
HTTP
HTTP 요청 메시지
HTTP 응답 메시지

2. 웹 보안
보안 취약점과 정보보안의 3요소
해킹 단계
웹 공격 단계
웹 보안을 위한 공통 고려사항
OWASP Top 10

3. 실습 환경
실습 환경 개요
버추얼박스 설치
칼리 리눅스 설치
웹 모의해킹 실습용 가상 머신

4. 버프 스위트(Burp Suite)
HTTP 프록시 개요
버프 스위트 설정
웹 브라우저 프록시 설정
폭시프록시(FoxyProxy) 애드온
HTTPS 사이트 접속 문제
버프 스위트의 기능

2부 모의해킹 실습

5. 정보 수집
배너를 통한 정보 수집
기본 설치 파일을 통한 시스템 정보 수집
웹 취약점 스캐닝
디렉터리 인덱싱
웹 애플리케이션 매핑
정보 수집 대응 방법

6. 취약한 인증 공격
브루트 포스 공격 개요
브루트 포스 공격 실습
브루트 포스 공격 대응
세션ID 노출 사례 및 보호 대책

7. SQL 인젝션 공격
SQL 인젝션 공격 개요
SQL 인젝션 공격 실습
블라인드 SQL 인젝션 공격
sqlmap 자동화 공격
SQL 인젝션 공격 대응

8. 커맨드 인젝션 공격
커맨드 인젝션 공격 개요
커맨드 인젝션 공격 실습
커맨드 인젝션 공격 대응

9. 크로스 사이트 스크립팅 공격
리플렉티드 크로스 사이트 스크립팅(Reflected XSS) 공격 개요
리플렉티드 크로스 사이트 스크립팅(Reflected XSS) 공격 실습
BeEF 공격 프레임워크
스토어드 크로스 사이트 스크립팅(Stored XSS) 공격 개요
스토어드 크로스 사이트 스크립팅(Stored XSS) 공격 실습
크로스 사이트 스크립팅 공격 대응

10. 크로스 사이트 요청 변조(CSRF) 공격
CSRF 공격 개요
CSRF 공격 실습
CSRF 공격 대응

11. 파일 인클루전 공격
파일 인클루전 공격 개요
파일 인클루전 공격 실습
파일 인클루전 공격 대응

12. 파일 업로드 공격
파일 업로드 공격 개요
파일 업로드 공격 실습
파일 업로드 공격 대응

13. 민감한 데이터 노출
HTTP 프로토콜에 의한 노출
웹 스토리지를 통한 노출 실습
평문으로 된 패스워드 노출 실습
Base64 인코딩
민감한 데이터 노출 대응 방안

14. 접근 통제 취약점 공격
안전하지 않은 직접 객체 참조(IDOR 공격)
관리자 페이지 인증 우회
디렉터리 트래버설 취약점 공격 실습
접근 통제 취약점 공격 대응 방안

15. XXE(XML 외부 엔티티) 공격
XXE 공격 개요
XXE 공격 실습
XXE 공격 대응

16. 알려진 취약점을 이용한 공격
하트블리드(Heartbleed) 취약점 공격 실습
쉘쇼크(shellshock) 취약점 공격과 리버스 쉘 실습
메타스플로잇을 활용한 PHP-CGI 취약점 공격
알려진 취약점 공격 대응

17. 자바 역직렬화 취약점 공격
자바 역직렬화 취약점 개요
자바 역직렬화 취약점 공격 실습
자바 역직렬화 취약점 공격 대응

18. 실전 모의해킹
환경 구성
최종 실습
최종 실습 정리

부록: VM웨어를 이용한 실습 환경 구성
VM웨어 워크스테이션 플레이어 설치
가상 이미지 추가
네트워크 설정