파이썬의 간결함과 강력함을 장점으로 활용하여, 정보보호 분야에 파이썬을 사용하는 방법을 다룬 책이다. 파이썬을 활용한 모의해킹의 입문서로, 간단한 네트워크 해킹에서부터 웹 애플리케이션 해킹까지 다양한 분야에서의 파이썬 활용법을 자세하게 설명하며, 별도로 실습해볼 수 있는 예제 코드도 제공한다. 모의해킹 업무를 하면서 파이썬을 활용해보려는 화이트 해커 혹은 해킹을 방지하기 위한 윤리적 해킹 입문자에게 훌륭한 안내서가 될 것이다

네트워크로 전송되는 이더넷 IP와 TCP 모니터링

다양한 프로그램을 이용한 무선 트래픽 탐색

파이썬 프로그램을 사용한 무선 공격 수행

운영 중인 시스템을 확인하고 원격에서 운영체제와 서비스 판별

파이썬의 클라이언트/서버 아키텍처의 기본에서 바로 침투 테스팅으로 개념 확대

자동화 스크립트를 사용한 웹사이트의 수동적인 정보 수집

XSS, SQL 인젝션, 파라미터 변조 공격 수행

기본적인 파이썬 프로그래밍 지식을 갖고 있으며, 파이썬을 이용한 침투 테스팅을 배우기 원하는 보안 분야 연구원 혹은 파이썬 프로그래머에게 이 책은 가장 이상적이다. 만약 모의 해킹 분야에 새롭게 입문했다면, 이 책은 공격 혹은 침입과 같은 외부의 방해를 대비할 수 있도록 시스템의 취약점을 발견하는 데 도움이 될 것이다.

1장. 파이썬을 이용한 침투 테스팅 및 네트워킹

다음 장을 학습하기 위한 기본 내용을 알아본다. 이 장에서는 소켓과 소켓의 메소드 관련 내용을 다룬다. 서버 소켓의 메소드는 간단한 서버를 만드는 방법을 정의한다.

2장. 스캐닝 침투 테스팅

네트워크, 호스트, 호스트에서 실행 중인 서비스 정보를 수집하기 위한 네트워크 스캐닝 방법을 다룬다.

3장. 스니핑과 침투 테스팅

적극적 스니핑(active sniffing) 방법을 알려주며, 4계층 스니퍼를 만드는 방법과, 3계층 및 4계층 공격을 수행하는 방법을 다룬다.

4장. 무선 침투 테스팅

무선 프레임과 파이썬 스크립트를 사용하여 무선 프레임으로부터 SSID, BSSID, 채널 번호를 수집하는 방법을 다룬다. 이러한 유형의 공격으로, AP를 대상으로 침투 테스팅 공격을 실시하는 방법도 다룬다.

5장. 웹 응용프로그램과 웹 서버의 풋 프린팅

웹 서버 서명(signature)의 중요성과 함께, 서버 서명을 파악하는 일이 왜 해킹의 첫 번째 순서인지에 대해 설명한다.

6장. 클라이언트 측 공격과 DDoS 공격

클라이언트 측 검증과 클라이언트 측 검증을 우회하는 방법을 설명하며, 4가지 유형의 DDoS 공격에 대해 다룬다.

7장. SQLI와 XSS 침투 테스팅

두 가지 중요한 웹 공격인 SQL 인젝션과 XSS를 다룬다. SQL 인젝션에서 파이썬 스크립트를 사용하여 관리자 로그인 페이지를 찾는 방법을 배워본다.

이 책은 침투 테스트를 위해 파이썬을 사용할 때의 장점을 보여주는 실용적인 안내서다. 파이썬과 함께 네트워킹의 기본을 탐구하고 정보 수집과 공격을 포함한, 네트워크와 무선 침투 테스트 순서로 학습한다. 그다음 애플리케이션 계층 해킹을 철저하게 조사하고, 웹사이트의 정보 수집부터 시작하여 파라미터 조작(parameter tampering), DDOS, XSS, SQL 인젝션과 같은 궁극적으로 웹 사이트 해킹과 관련된 개념을 알아본다.

모히트(Mohit Raj)

애플리케이션 개발자며, 정보보안 분야에 흥미가 있는 파이썬 프로그래머다. 쿠르크쉐트라(Kurukshetra) 대학에서 컴퓨터 과학 학사 학위를 받았으며, 2012년에 파티알라 지역의 타파르(Thapar) 대학에서 컴퓨터 과학 석사 학위를 받았다.

「세션 하이재킹(session hijacking)」 논문과 연구 논문인 「COMPARATIVE ANALYSIS OF SESSION HIJACKING ON DIFFERENT OPERATING SYSTEMS」를 마닌더 싱(Maninder Singh) 박사의 지도 아래 작성했다. CCNA를 취득했으며, EC-Council의 Certified Ethical Hacking 과정을 받고 CEH 자격증도 취득했다.

그리고 「eForensic」잡지 2013년 12월호에 ‘how to disable or change webserver signature’를 기고했다. 무선 해킹과 관련된 또 다른 기고문인 'Beware: Its Easy to Launch a Wireless Deauthentication Attack! in Open Source For You’는 2014년 7월에 작성했다. 저자는 또한 ECSA(certified Certified Security Analyst) 자격을 갖고 있다. IBM 인도에서 2년의 경력을 쌓았고, CEH의 전문 강사이며, CODEC 네트워크의 파이썬 프리랜서이기도 하다. 이외에도 레드햇과 CentOS 리눅스에 대해 잘 알고 있으며, 레드햇 리눅스 사용 경험이 풍부하다.

모의 해킹 분야에 종사하는 사람들 중에서는 의도치 않게 프로그래밍과 멀어지는 사람들도 종종 있다. 인터넷을 통해 오픈소스 기반의 성능 좋은 툴을 손쉽게 구할 수 있어 직접 프로그래밍을 하기보다는 자동화 툴을 구하는 것이 더 편리하기 때문이다. 또, 칼리 리눅스(Kali Linux)와 같이 모의 해킹을 위해 오픈소스 기반의 툴을 모아놓은 리눅스의 등장으로, 더욱 간편하게 자동화 툴을 사용할 수 있게 되었다.

하지만 모의 해킹을 할 때, 이러한 자동화 툴들을 활용할 경우 아쉽게도 원하는 결과를 얻지 못하는 경우가 종종 있다. 이렇게 2%가 아쉬운 상황에서 간단한 프로그램을 직접 작성하여 원하는 결과를 얻으려고 할 때 파이썬이 제격이다. 파이썬은 간결하고 직관적이며, 강력한 기능을 제공하기 때문에 모의 해킹 분야에서 사용할 프로그래밍 언어로 각광을 받고 있다. 실제로 sqlmap과 같이 다수의 유명한 오픈소스 툴들이 파이썬으로 개발되었다.

국내에도 이미 파이썬을 활용한 다양한 보안 관련 책들이 많이 소개되었다. 하지만 모의 해킹 분야에 파이썬을 활용하는 방법에 대해 소개한 책은 많지 않다. 모의 해킹에서 필요한 모의 해킹 업무를 주로 실시하는 화이트 해커가 파이썬을 활용하려고 할 때, 이 책은 훌륭한 안내서가 되어 줄 것이다. 1장에서 4장까지 파이썬과 함께 네트워킹의 기본을 탐구하고, 정보 수집과 공격을 포함한 네트워크와 무선 침투 테스팅을 알려준다. 그 뒤로, 5장부터 7장에서는 애플리케이션 계층 해킹을 다루는데, 웹 사이트의 정보 수집부터 파라미터 조작(parameter tampering), DDOS, XSS, SQL 인젝션과 같은 웹 사이트 해킹까지 파이썬을 이용해 침투 테스트를 수행하는 방법을 배우게 된다. 여러분들은 이 책을 통해 파이썬을 모의 해킹에 활용하는 방법을 배울 수 있을 것이며, 파이썬으로 개발된 오픈소스 툴에 대한 이해도를 높일 수 있을 것이다.

이진호

성균관대학교 컴퓨터교육과를 졸업한 후 금융결제원에서 3년간 국내 금융기관을 대상으로 정보보호 업무를 담당했다. 현재 금융보안원에서 모의해킹 업무를 수행 중이다. 보안 이외에도 다른 사람을 가르치고 지식을 전달하는 일에 관심이 많다. 보안 관련 지식을 나누고자 번역 일을 시작했다.