악성 ‘구글해커’의 공격기법을 분석함으로써 보안관리자가 흔히 간과하지만 매우 위험한 정보 유출로부터 서버를 보호하는 방법을 설명한다. 특히 구글해킹의 갖가지 사례를 스크린샷과 함께 보여주는 쇼케이스 내용을 새롭게 추가해 해커의 공격 방식을 한눈에 살펴볼 수 있다. 브라우저와 검색엔진만으로도 해킹이 가능한 사례를 보여주는 구글해킹 쇼케이스는 이 책의 백미로서 보안 대응의 중요성을 널리 알린다.


[ 소개 ]

실력 있다고 생각하는 구글 해커는 먹잇감을 찾아 인터넷을 돌아다닌다. 검색에 검색을 거듭해 깔끔한 쿼리를 찾는 데 성공하고, 먹잇감을 찾는 데 이용한 쿼리와 스크린샷을 공유하거나 거래한다. 나는 구글 해킹 데이터베이스(GHDB)와 http://johnny.ihackstuff.com에 있는 해킹 포럼의 검색 엔진 창시자로서 구글 해킹에 올라오는 내용들에 자주 놀라곤 한다. 의료, 재계, 소유권, 정제된 정보와 관련한 루머가 구글 검색에 의해 실제임이 발견되는 경우도 있다. 정부 정책, HIPPA 같은 보호 정책, 보안 와치독에도 불구하고 이런 문제는 항상 존재한다. 자료들이 웹에 돌아다니게 되면 구글 해커들은 잽싸게 해당 자료를 낚아챈다. 『구글해킹 절대내공』을 통해 구글 해커의 위협으로부터 벗어날 수 있다.


[ 이 책에서 다루는 내용 ]

① 구글 검색의 기초
구글의 웹 기반 인터페이스를 살펴보고, 구글 요청문을 만들고, 구글에서 만든 URL을 변경해본다.

② 고급 연산자
고급 연산자를 조합해보고 충돌되는 연산자와 나쁜 검색을 알아본다.

③ 구글 해커가 사용하는 방법
임의성을 가능케 하는 캐시 사용법과 디렉터리 목록보기, 디렉터리 검색 기술을 살펴본다.

④ 문서 분석과 데이터베이스 채굴
구글로 문서를 찾는 방법, 문서 내의 정보를 찾는 방법을 살펴본다.

⑤ 정보 분석 프레임워크로의 구글 역할 이해
자동 검색 원리와 데이터 수집의 원리를 이해한다.

⑥ 공격 코드와 대상 찾기
공격 코드와 대상의 취약점을 발견한다.

⑦ 단순하면서도 잘 동작하는 검색문 10가지
원하는 결과를 얻고, 보안 평가에 좋은 검색문을 살펴본다.

⑧ 웹서버 찾기
웹서버, 로그인 포털, 네트워크 하드웨어, 유틸리티 등을 찾고 정리하는 방법을 살펴본다.

⑨ 정보 획득 방법
사용자 이름, 비밀번호, 신용카드 번호, 사회 보장 번호 등의 정보를 찾는 방법을 살펴본다.

⑩ 구글 서비스 해킹
AJAX 검색 API, 캘린더, 블로그, 블로그 검색 등을 살펴본다.

[ 저자 서문 ]

내 이름은 Johnny, 나는 해킹을 한다.

삶의 방향을 바꾼 취미를 가져본 적이 있는가? 처음에는 취미로 시작한 구글 해킹이 내 인생을 바꾼 계기가 됐다. 2004년은 데프콘에서 발표하는 등 내 경력이 화려해지기 시작한 때였다. 최상의 위치에 있었고 머릿속에 “나는 최고다”라고 각인하고 있었다(조금 자부심이 강하다고 해야겠다). 구글 해킹에 대해 발표했고, 내가 상상하는 멋진 발표자가 되고 있다고 생각했다. 발표는 호응이 좋았고, 호평이 쏟아졌고, 나 스스로 멋진 발표자라고 암시를 주었다. 모든 것이 좋아 보였지만 그 주가 끝나가면서 내게 남은 것은 공허함이었다.

이틀 사이에 발생한 불행한 사건들이 나를 성공의 꼭대기에서 절망의 골짜기로 던져버렸다. 그것으로 끝이었나? 뭔지 모를 기분이 들었다. 무슨 일이 내게 일어났는지 알 수 없었다. 하지만 나는 전문가로서의 내 모든 것(경력, 웹사이트의 500명 사용자, 발표자로서의 경력)을 모두 하나님께 내려놓았다.

그때 내게 일어난 사건들이 무슨 의미인지 잘 몰랐다. 하지만 뭔가 과감한 변화, 설명할 수 없는 뭔가 좀 더 높은 목표를 향해 나아가고 싶었다. 내 생애 처음으로 내 인생의 깊이가 얼마나 얄팍한지를 내가 얼마나 자기중심적인지를 알게 됐고, 그런 자신이 싫어졌다. 좀 더 나은 것을, 간절히 바랬다. 지금까지 내가 얻기를 바랐던 것보다 더 많은 것을 얻었음에도 그런 것이 내게는 의미가 없었다.

마침 싱그레스Syngress에서 『구글 해킹(Google Hacking)』 책을 써보지 않겠느냐는 제안이 들어왔다. 책을 써 본 경험이 없던 나는 좋은 기회다 싶어 승낙했다. 이젠 내게 ‘좋은 선물original gift’이 된 『구글 해킹』은 알다시피 베스트셀러가 됐다.

내가 운영하는 웹사이트는 사용자가 500명에서 80,000명이 됐다. 구글과 관련된 책 프로젝트는 10개, 아니 그 이상으로 늘어났다. 미디어들은 다들 난리가 났다. 슬래시닷Slashdot을 비롯해 온라인, 출판사, TV, 케이블들이 관련 기사를 내보냈다. 여기저기 컨퍼런스에 와 달라는 초청이 쇄도했다. 함께하고 싶던 해킹 커뮤니티에서도 보수적인 성향이 강한 내가 일할 수 있게 기꺼이 허락해줬다. 내가 운영하는 웹사이트를 통해 책을 사줬고 자선기금 마련에 동참해줬으며, 나와 아내의 우간다, 아프리카로의 선교 여행 자금을 지원해줬다. 이 사건들이 내 인생을 변화시켰고 ihackcharities.com이 해킹 커뮤니티와의 연결고리로서의 봉사 단체의 성격을 갖는 계기가 됐다. 내 삶이 변했고, 나와 아내, 가족과의 관계가 이전보다 친밀해졌다.

구글 해킹은 나에게 책 이상의 의미가 있다. ‘좋은 선물’이기 때문에 내용을 업데이트하는 데도 매우 신중을 기하고 있다. 단어 하나, 사진 하나하나가 특별하기 때문에 맞는 내용인지 확신한 후에 수정을 하고 있다. 이제 개정판이 나왔다. 여러분에게 이 책을 소개할 수 있어서 매우 기쁘다. 여러분과 이 책이 나오는 데 힘써준 많은 이들에게 감사한다.

http://johnny.ihackstuff.com에 방문해 새로운 소식을 확인해보기 바란다. 구글 해킹 데이터베이스에 여러 면으로 지원해준 이들에게 감사한다. 아마존 링크로 자선기금을 지원해준 여러분에게도 감사한다. 보안 커뮤니티뿐만 아니라 실제 삶에도 큰 변화를 준 플랫폼을 만들고 지원해준 여러분에게도 감사한다. 여러분의 진심어린 지원에 감사한다.



[ 저자 소개 ]

Johnny Long
SANS, 데프콘, Black Hat Briefings 같은 세계적인 컴퓨터 보안 컨퍼런스에서 네트워크 보안과 구글 해킹에 대해 발표했다. 최근에는 글로벌 IT 보안 회사인 Computer Sciences Corporation(CSC)에서 수백 개의 정부/기업 고객을 위해 네트워크/물리 보안 감사를 수행했다. Johnny의 웹사이트인 http://johnny.ihackstuff.com은 현재 인터넷에서 가장 큰 구글 해킹 기법 지식창고다.


[ 옮긴이의 말 ]

처음 검색 엔진을 접했을 때에 단지 단어 몇 개를 넣었을 뿐인데 검색 결과의 개수가 너무 많아 놀라웠습니다. 이후로 검색 엔진을 통해 원하는 정보를 찾는 일은 일상의 부분이 됐습니다. 한두 번만에 원하는 결과를 찾는 경우도 있지만 가끔은 원하는 결과를 추려내기 어려운 경우도 있곤 합니다. 이를 자주 겪으면서 어떻게 하면 쉽고 빠르게 정보를 찾아내는지 고민하곤 했습니다. 사실 의미를 파악하기 힘든 데이터가 많이 있는 것은 정보라기보다는 아무짝에도 쓸모 없는 쓰레기에 가깝기 때문입니다. 우리나라에서 인터넷이 급속히 보급될 무렵 인터넷은 유익한 정보의 양보다 의미 없는 데이터의 양이 급속히 증대됐습니다. 그래서 그럴까요? 한동안 포털 사이트에서 제공하는 검색 결과는 실망스럽기까지 했습니다. 그러나 더욱 빠르고 정확한 검색 알고리즘을 제공하는 구글이 등장하면서 검색 엔진은 정보 검색 이상의 의미가 부여되기 시작했습니다.

구글은 이 시간에도 계속해서 데이터가 누적되고 있는 거대한 데이터베이스지만 핸드폰으로도 접근할 수 있게 간단한 인터페이스를 제공하는 도구입니다. 이미 축적된 엄청난 데이터에서 원하는 데이터를 잘 추려내는 것도 매우 가치 있는 작업이 아닐 수 없습니다. 그러나 이 책은 구글을 잘 활용하는 정도만 아니라 그 이상의 의미를 부여하는 해킹을 시도합니다. 검색 결과를 정제하고 정제된 결과를 더욱 가공해 새로운 의미를 부여하는 작업을 시도합니다. 이 자체로도 가치를 새롭게 부여하는 가치 창조의 작업이 아닐까요? 뿐만 아니라 주 소재는 구글이지만 주제는 구글에 국한된 내용이 아닙니다. 의미 있는 데이터, 곧 정보라는 관점에서 구글과 그 서비스에 접근하는 아이디어와 방법을 제시합니다.

원 저자는 예상 독자로 주로 모의 해킹을 시도하는 침투 테스터라는 극히 제한된 사람을 대상으로 하지만 구글을 통해 가치 있는 정보를 얻어내고자 하는 모든 사람에게 매우 유익한 내용임에 틀림없습니다. 특히 개발 배경 지식을 갖고 있다면 이 책은 금상첨화일 것입니다.

이 시간에도 구글은 변화하고 있습니다. 읽는 순간에 구글 랩에서는 새로운 서비스가 게시됐을지도 모릅니다. 이렇게 숨가쁘게 변화하고 있는 시대에 역자들의 바람이라면 독자에게 검색이라는 1차 기반인 구글과 그 서비스에 대해 잘 알리고, 이를 기초로 데이터 가공과 의미를 부여하는 2차 서비스에 대한 영감을 덧입히기를 바랄 뿐입니다.


[ 옮긴이 소개 ]

강유
서울대학교 보안 동아리 ‘가디언’의 창립 멤버로 참여했고 초대 회장을 지냈다. 현재 미국 카네기 멜론 대학 컴퓨터 사이언스 박사 과정에 재학 중이다. 저서로 『강유의 해킹 & 보안 노하우』가 있으며, 대표적인 역서로 『네트워크를 훔쳐라』, 『조엘이 엄선한 소프트웨어 블로그 베스트 29선』, 『TCP/IP 완벽 가이드』 등이 있다.

윤평호
설계와 개발을 시작으로 제품 상용화와 유지 보수를 포함한 소프트웨어 개발의 전체 프로세스를 진행했다. 현재 PKI시스템 개발과 컨설팅을 진행하며, 보안과 표준에 관심이 많고 새로운 것에 도전하기 좋아하는 개발자다.

정순범
광운대학교 컴퓨터소프트웨어공학과를 졸업했으며, 동 대학원에서 컴퓨터 네트워크 전공을 들었다. 컴퓨터 신기술에 관심이 많으며, 해킹에 많은 흥미를 갖고 있다.

노영진
광운대 전파공학과를 졸업했다. 네트워크의 분석과 설계 및 구현에 관심이 많다. 한 대륙에 자신이 만든 네트워크 인프라를 구축하고자 하는 비전과 열정을 가진 청년이다.

목차

• 01장 구글 검색의 기초
  • 개요
  • 구글 웹 인터페이스 탐험
    • 구글의 웹 검색 페이지
    • 구글 웹 결과 페이지
    • 구글 그룹
    • 구글 이미지 검색
    • 구글 환경 설정
    • 언어 도구
  • 구글 요청문 작성
    • 구글 검색의 황금률
    • 기본 검색
    • 불 연산자와 특수 기호 사용
    • 검색 결과 줄이기
  • 구글 URL 작업하기
    • URL 문법
    • 특수 문자
    • 조각 합치기
  • 정리
  • 1장의 핵심
  • 관련 사이트 주소
  • FAQ
    
• 02장 고급 연산자
  • 개요
  • 연산자 문법
    • 문법 오류 해결
  • 구글의 고급 연산자 소개
    • Intitle과 Allintitle: 페이지의 제목에서 검색
    • Allintext: 페이지 본문에서 문자열 검색
    • Inurl과 Allinurl: URL에서 문자열 검색
    • Site: 특정 사이트로 검색 범위를 좁힘
    • Filetype: 특정 종류의 파일 검색
    • Link: 페이지로의 링크를 찾는다
    • Inanchor: 링크 문자열 내에서 검색
    • Cache: 캐시로 저장된 페이지를 보여줌
    • Numrange: 숫자 범위를 검색
    • Daterange: 특정 날짜 사이에 배포된 페이지 검색
    • Info: 요약 정보 출력
    • Related: 관련 사이트 출력
    • Author: 뉴스그룹 게시물의 작성자 검색
    • Group: 그룹 이름 검색
    • Insubject: 구글 그룹 게시물의 주제 검색
    • Msgid: 메시지 ID를 이용해 그룹 게시물을 찾음
    • Stocks: 주식 정보 검색
    • Define: 용어의 정의를 보여줌
    • Phonebook: 전화 번호 목록에서 찾음
    • 충돌하는 연산자와 나쁜 검색 습관
  • 정리
  • 2장의 핵심
  • 관련 사이트 주소
  • FAQ
    
• 03장 구글 해킹 기본
  • 개요
  • 익명성을 위한 캐시 사용
  • 디렉터리 목록
    • 디렉터리 목록 찾기
    • 특정 디렉터리 찾기
    • 특정 파일 찾기
    • 서버 버전 확인
  • 탐색 기법
    • 디렉터리 탐색
    • 증분 치환
    • 확장자 탐색
  • 정리
  • 3장의 핵심
  • 관련 사이트 주소
  • FAQ
    
• 04장 문서 분석과 데이터베이스 채굴
  • 개요
  • 설정 파일
  • 로그 파일
    • 오피스 문서
  • 데이터베이스 채굴
    • 로그인 포털
    • 지원 파일
    • 에러 메시지
    • 데이터베이스 덤프
    • 실제 데이터베이스 파일
  • 자동 문서 분석
  • 구글 데스크탑 검색
  • 정리
  • 4장의 핵심
  • 관련 사이트 주소
  • FAQ
    
• 05장 구글을 이용한 정보 수집
  • 개요
  • 자동화 검색의 원리
    • 검색 용어 원본
    • 검색 용어 확장
      • 이메일 주소
      • 전화번호
      • 사람
      • 많은 결과 얻기
      • 더 많은 조합
      • ‘특별한’ 연산자 사용
    • 원본에서 자료 수집
      • 스스로 스크랩해보기: 요청하고 응답받기
      • 스스로 스크랩하기: 자르고 썰기
      • 데퍼
      • Aura/EvilAPI
      • 다른 검색 엔진
    • 데이터 분석
      • 이메일 주소 분석
      • 도메인과 서브도메인
      • 전화번호
    • 후처리
      • 연관성에 따른 결과 정렬
      • 조각을 넘어
      • 결과 보여주기
  • 데이터 마이닝 애플리케이션
    • 적당한 즐거움
    • 매우 흥미로운 검색
      • 한 단계 더 들어가기
  • 검색 용어 수집
    • 웹상에서
    • 내 소유 조사
      • 검색 용어
      • Gmail
    • 감미로운 단어
    • 소개처
  • 정리
    
• 06장 공격 코드와 대상 찾기
  • 개요
  • 공격 코드 찾기 266
    • 공개 공격 코드 사이트 찾기
  • 유명 코드 문자열을 이용해 공격 코드 찾기
  • 구글 코드 검색으로 코드 찾기
  • 멀웨어와 실행 파일 찾기
  • 공격에 취약한 대상 찾기
    • 데모 페이지로 공격 대상 찾기
    • 소스코드로 공격 대상 찾기
    • CGI 스캐닝으로 공격 대상 찾기
  • 정리
  • 6장의 핵심
  • 관련 사이트 주소
  • FAQ
    
• 07장 단순하면서도 잘 동작하는 검색문 10가지
  • 개요
  • site
  • intitle:index.of
  • error | warning
  • login | logon
  • username | userid | employee.ID | "your username is"
  • password | passcode | "your password is"
  • admin | administrator
  • -ext:html -ext:htm -ext:shtml -ext:asp -ext:php
  • inurl:temp | inurl:tmp | inurl:backup | inurl:bak
  • intranet | help.desk
  • 정리
  • 7장의 핵심
  • FAQ
    
• 08장 웹서버, 로그인 포털, 네트워크 하드웨어 찾기
  • 개요
  • 웹서버 검색과 프로파일링
    • 디렉터리 목록
    • 웹서버 소프트웨어 에러 메시지
    • 마이크로소프트 IIS
    • 아파치 웹서버
    • 애플리케이션 소프트웨어 에러 메시지
    • 기본 페이지
    • 기본 문서
    • 예제 프로그램
  • 로그인 포털 찾기
    • 다양한 웹 유틸리티의 활용
  • 웹 지원 네트워크 디바이스 검색
  • 네트워크 보고서 검색
  • 기타 네트워크 하드웨어 찾기
  • 정리
  • 8장의 핵심
  • FAQ
    
• 09장 사용자 이름, 비밀번호, 그 외 감추고 싶은 것
  • 개요
  • 사용자 이름 검색
  • 비밀번호 검색
  • 신용카드 번호, 사회 보장 번호 검색
    • 사회 보장 번호
    • 개인 회계 데이터
  • 기타 중요 정보 검색
  • 정리
  • 9장의 핵심
  • FAQ
    
• 10장 구글 서비스 해킹
  • AJAX 검색 API
    • 구글 AJAX 검색 API 끼워 넣기
    • AJAX 검색 더 자세히 살펴보기
    • AJAX 검색 엔진 해킹
  • 캘린더
  • Blogger와 구글의 블로그 검색
    • 구글 스플로거
  • 알림 시스템
  • 구글 맞춤 검색 엔진
    • 구글 AJAX 검색 API 통합
  • 구글 코드
    • SVN의 간략한 소개
    • 온라인으로 파일 얻기
    • 코드 검색
      
• 11장 구글 해킹 쇼케이스
  • 개요
  • 엽기적인 내용
    • 유틸리티
    • 오픈 네트워크 디바이스
    • 오픈 애플리케이션
  • 카메라
  • 텔코 기어
  • 전력
  • 민감한 정보
    • 경찰 보고서
  • 사회 보장 번호
    • 신용카드 정보
  • 구글을 넘어서
  • 정리
    
• 12장 구글 해커로부터 자신을 보호하는 법
  • 개요
  • 튼튼한 보안 정책
  • 웹서버 보호
    • 디렉터리 목록과 누락된 인덱스 파일
    • Robots.txt로 캐시 예방하기
    • NOARCHIVE: 캐시 ‘킬러’
    • NOSNIPPET: 발췌문 제거
    • 비밀번호 보호 방법
    • 소프트웨어 기본 설정과 프로그램
  • 내 사이트 모의 해킹
    • 자신의 사이트 검색
    • Gooscan
      • Gooscan 설치
      • Gooscan 옵션
      • Gooscan 데이터 파일
      • Gooscan 사용
    • 윈도우 툴과 닷넷 프레임워크
    • Athena
      • Athena 설정 파일 사용
      • Athena 설정 파일 작성
    • Wikto
    • 구글 로우어
    • 구글 사이트 인덱서
    • 고급 도크
  • 구글의 도움 얻기
  • 정리
  • 12장의 핵심
  • 관련 사이트 주소