베일에 싸인 구글의 비밀을 파헤친다

- 어떤 정보도 파헤칠 수 있는 강력한 도구로 구글을 사용하는 방법을 배운다
- 포트 스캔, CGI 스캔, 웹 서버 검색을 통해 공격자가 회사에 몰래 침입하는 방법을 살펴본다
- 독자 회사의 정보 캐시, 방화벽, IDS 로그, 비밀번호 데이터베이스를 노출하는 악성 구글해킹을 차단한다


<이 책의 내용>

구글을 이용해 SQL 삽입 공격지점과 로그인 포털을 파악하고, 포트 스캔과 CGI 스캔을 수행하고, 웹 서버를 검색하고, 방화벽, IDS 로그, 비밀번호 데이터베이스, SQL덤프와 같은 매우 중요한 정보를 찾는 데 관심이 있는가? 실제 공격 대상에 단 하나의 패킷도 보내지 않고 이런 작업을 하는 방법을 알고 싶은가? 여기에 모든 해답이 담겨있다. 이 책에서는 악성 `구글해커`의 공격기법을 분석함으로써 보안 관리자가 흔히 간과하기 쉬운, 매우 위험한 정보 유출로부터 서버를 확실히 보호하는 방법을 설명한다.

당신은 안전합니까? 해커가 이용하는 요청문을 배워봅시다.

filetype:lit lit (books|ebooks)                       온라인에 공개된 전자 책!

inurl:root.asp?acs=anon                               아웃룩 웹 액세스 공개 폴더와 익스체인지 주소록!

intitle:"Live View / - AXIS" | inurl:view/view.sht    액시스 넷캠 라이브 뷰!

inurl:"ViewerFrame?Mode="                             라이브 파나소닉 네트워크 카메라! 

SNC-RZ30 HOME.		                          라이브 소니 NC RZ30 웹 카메라!

intitle:"toshiba network camera - User Login"	        라이브 도시바 네트워크 카메라!

aboutprinter.shtml	                                    웹 상의 제록스 프린터!

<부록CD 내용>

부록 CD는 본문에서 설명한 소스 코드, 중요 툴, 중요 문서를 담고 있습니다.

4장	email-mine.pl

	구글 API	         http://www.google.com/apis

5장	BiLE              http://www.sensepost.com/garage_portal.html#Tools

6장	Wikto             http://www.sensepost.com/research/wikto/

	Gooscan           http://johnny.ihackstuff.com/

                           modules.php?op=modload&name=Downloads&file=index&req=viewdownload&cid=5

	Nikto             http://www.cirt.net/code/nikto.shtml

11장	Athena            http://www.snakeoillabs.com 

12장	dns-mine.pl

	google_perl.pl

	google_py.py

	google_c.c

	nikto_scan.pl

	nikto.txt



부록 A	OSSTMM            http://www.isecom.org/osstmm/

<저자 소개>

Johnny Long

Johnny Long은 SANS, Defcon, Black Hat Briefings와 같은 세계적 컴퓨터 보안 컨퍼런스에서 네트워크 보안과 구글해킹에 대해 발표했다. 그는 최근에 글로벌 IT 보안회사인 Computer Sciences Corporation (CSC)에서 수백개의 정부/기업 고객을 위해 네트워크/물리 보안 감사를 수행했다. 그의 웹 사이트인 http://johnny.ihackstuff.com는 현재 인터넷에서 가장 큰 구글 해킹 기법 지식 창고다.


<저자 서문>

매트릭스 라는 영화를 본 적이 있는가? 아직 보지 않았다면 시대를 초월한 공상과학을 다룬 걸작인 이 영화를 꼭 한번 빌려 보기 바란다. 매트릭스를 봤다면 키아누 리브스가 연기한 네오라는 인물을 기억해내지 못하는 사람은 없을 것이다. 긴 잠에서 깨어난 어느날 네오는 자신이 인간과 컴퓨터 프로그램 사이의 잔인한 전쟁에 말려들었다는 사실을 알게 된다. 그를 도와줄 수 있는 것이라고는 고작 허름한 옷을 걸친 힘없는 사람뿐이다.

네오는 모피어스(네오의 스승으로 로렌스 피시번이 연기함)로부터 싸움에 필요한 기술을 전수받고 열심히 연마하지만, 시간이 흐를수록 네오는 자신의 정체성과 운명에 대한 고민만 쌓일 뿐이다. 이를 알아챈 모피어스는 어느날 네오를 모든 질문에 답을 해 줄 수 있는 존재인 오라클에게 데려간다. 베일에 싸인 늙수그레한 할머니 오라클은 네오가 알아야 할 모든 것을 깨닫게 하고 그가 걸어 가야할 길을 친절히 인도해준다. 그리고 네오에게 기분이 좋아질 거라며 쿠키를 건넨다.

그런데 매트릭스가 과연 이 책과 무슨 관계가 있을까? 여러분과 내가 살고있는 세계인 우리의 매트릭스에서 오라클은 바로 ‘구글’이다. 잠시 생각해 보자. 사람들은 크건 작건 궁금한 것이 생기면 오라클(구글)에게 가서 묻는다. "맛있는 페스토 소스를 만들려면 어떻게 하죠?” “애완견의 의치 비용은 세금 감면이 되나요?” "포스트모던 철학책인 Simulacra and Simulation의 요약본을 어디서 찾을 수 있죠?" 오라클은 모든 질문에 답을 해 준다. 그리고 독자가 환경 정보를 알려주면 오라클, 즉 구글은 독자의 웹브라우저에게 쿠키를 건네준다.

독자가 현명하고 적절한 질문을 한다면 오라클로부터 훨씬 많은 정보를 얻어낼 수 있을 것이다. 이 책에서 저자 Johnny Long은 모피어스이며, 여러분은 네오라고 할 수 있다. 모피어스가 네오를 가르치고 영감을 줬듯이 Johnny도 구글을 최대한 이용할 수 있는 방법을 독자에게 알려줄 것이다. 이 책에서 설명하는 기술을 익힘으로써 구글 실력은 엄청나게 향상될 것이고 침투 테스트/보안 관리 능력은 한층 강화될 것이다.

사실 정보 보안 분야가 아니더라도 구글검색 기법이 앞으로 적어도 5년에서 10년 동안 꼭 필요한 중요 기술 중 하나라고 믿는다. 독자는 전문 침투 테스터인가? 아이가 묻는 난감한 질문에 당황하고 있는 부모인가? 정치에 관심이 많은가? 종교를 바꿨는가? 여러분이 어떻게 살아가고 있든 간에, 이 책에서 배운 기법을 이용해 구글에게 알맞은 질문을 던지면 성공적인 삶을 누리는 데 필요한 정보를 훨씬 잘 찾을 수 있다.

더욱이 저자는 이 책에서 구글을 통해 웹사이트가 취약한 비밀을 파헤치는 방법까지 설명했다. 많은 테스트를 거친 이들 방법을 이용해 실제 해커가 여러분의 사이트를 공격하기 전에 문제를 파악하고 수정할 수 있을 것이다. 나도 지난 10년 동안 침투 테스트를 해 오면서 웹사이트 검색의 유용성을 너무나도 절감했다. Johnny가 몇 년 전 자신의 웹 사이트를 운영하기 시작하며 강력한 검색 전략을 수집했을 때부터 나는 그 사이트에 매료됐다. 이 책에서 그는 지금껏 모은 최고 기법과 새로운 아이디어를 침투 테스트와 윤리적 해킹을 위한 완전한 방법론으로 설명했다.

여러분이 "구글 검색은 실제 침투 테스트에서는 별로 쓸모 없어... 장난할 때만 쓰일 뿐이지." 라고 생각한다면 독자는 침투 테스트에 대해 오해하고 있는 것이다. 우리는 침투 테스트를 할 때, 공격 대상에게 실제 스캔 패킷을 보내기 전에 하루 이틀 정도 대상에 대한 사전조사 작업을 한다. 고객이 시간을 더 준다면 가장 친숙한 정탐 툴인 구글을 이용해 완전한 조사를 수행할 수 있다. 이 책에서 저자가 설명하는 기법을 이용해 충분한 사전 조사를 함으로써 침투 테스트를 올바른 방향으로 이끌어 갈 수 있다.

특히 각 요청문의 의미가 무엇이며, 검색 결과를 최적화하기 위해 무엇을 해야 하는지를 명확히 알려주는 저자의 설명 방식이 무척 마음에 든다. 각 장 끝부분에 있는 요약과 FAQ에도 초심자나 전문가 모두에게 유용한 정보가 많다. 이 모든 이유로, 다음 침투 테스트를 할 동안 나는 이 책을 책꽂이에 꽂아두고 참조할 것이다. 매트릭스 DVD 바로 옆에.



<역자 소개>

강유 / yulguang@hotmail.com

서울대 컴퓨터공학과 출신으로 보안 동아리 가디언을 만들었고 초대 회장을 지냈으며 현재는 KT에서 보안 업무를 맡고 있다.
다수의 보안제품 개발과 컨설팅에 참여했고 여러 기관과 단체에서 보안강의를 했다.
전문 분야는 오픈소스 침입탐지 시스템(Snort 2.0) 구축/최적화/관리, 위험 관리 시스템 설계/운영, 네트워크/애플리케이션 모의 해킹(Penetration Test), 컴퓨터 포렌식 조사/분석, 네트워크 보안 툴 개발 등이다.
역서로 <네트웍 해킹 퇴치 비법>, <네트워크를 훔쳐라>, <해킹, 공격의 예술> 등이 있고 저서로 <강유의 해킹&보안 노하우>가 있다.
현재 에이콘 출판사의 해킹/보안 시리즈 에디터로 활동 중이다.
홈페이지 http://www.securityhowto.com/에서 보안 관련 자료와 포럼을 운영하고 있다.


<역자 서문>

인터넷은 정보의 바다라고 불릴 정도로 엄청나게 많은 정보를 저장하고 있다. 이제 우리가 필요로 하는 거의 모든 정보를 인터넷에서 찾을 수 있는 세상이 됐다. 이런 인터넷에서 정보를 찾을 수 있게 하는 검색 엔진 중에서 현재 가장 널리 쓰이는 것이 바로 구글/Google 이다.

구글이 수집하는 정보는 너무나도 방대하기 때문에 그 안에는 특정 사이트의 보안과 관련된 내용도 많이 들어 있다. 이 책은 구글을 통해 다양한 보안 공격을 할 수 있다는 것을 생생한 예제로 보여 준다. 공격을 할 때 필요한 것은 그저 웹 브라우저 뿐이다. 독자나 독자 고객 회사의 정보가 웹 브라우저로 무장한 악성 해커에게 유출되는 것을 막으려면 해커가 사용하는 공격방법과 그 공격을 막는 방법을 이해해야 한다. 독자는 이 책을 통해 공격과 방어법을 완전히 이해할 수 있을 것이다.

그리고 이 책은 효과적인 구글검색 방법을 잘 설명하고 있기 때문에 이 책을 통해 보안지식 뿐만 아니라 효과적인 정보 검색법도 익힐 수 있다. 다른 이들이 인터넷이라는 정보의 바다에서 목적지까지 열심히 손과 발로 헤엄치고 있을 때, 이 책을 손에 쥔 독자가 구글이라는 모터 보트를 타고 원하는 목적지까지 쉽게 갈 수 있다면 그것은 엄청난 경쟁력이 될 것이다.

또 이 책에서는 가능하면 대부분의 내용을 한글화하고자 노력했다. 다만 사람 이름, 모임 이름, 글 제목과 같은 고유 명사는 되도록 원문을 그대로 사용했다. 그리고 책 본문에 들어 있는 그림도 가능하면 한글화 했지만 원본 그림을 바꿀 경우 저자의 의도를 해칠 수 있거나 불필요한 정보 유출이 일어날 수 있는 부분은 원본 그림을 그대로 사용했다.

목차

• 1장 구글 검색 기본
• 2장 고급 연산자
• 3장 구글 해킹 기본
• 4장 사전 보안 평가
• 5장 네트워크 매핑
• 6장 공격 코드와 대상 찾기
• 7장 단순하면서도 잘 동작하는 검색문 10개
• 8장 웹 서버, 로그인 포털, 네트워크 하드웨어 찾기
• 9장 사용자 이름, 비밀번호, 그 외 감추고 싶은 것들
• 10장 문서 분석과 데이터베이스 채굴
• 11장 구글 해커로부터 자신을 보호하는 법
• 12장 구글 검색 자동화
• 부록 A 전문 보안 테스트
• 부록 B 웹 애플리케이션 보안 개요