내가 추천하는 두번째 책!!

웹 해킹 & 보안 완벽 가이드!!!

주로 웹 어플리케이션의 취약점과 그에 대한 대응등을 다루고 있다.

솔직히 시간이 없어 반밖에 읽어보지 못하였다.

하지만 앞에 내용만으로도 충분히 추천할만한 책이다

내용은 웹 어플리케이션을 겨냥한 공겨기법들의 원리와 그에 대한 방안을 제시하고 있는데 꽤 도움이 되는 내용들이다.

각 기술내용단원 끝에는 확인문제등도 있다.

안타까운 것은 도구 소개와 설명이 부족하다는 것이다.

이것도 거금이 들어가니 도서관에서 빌려보길 바란다.




내가 추천하는 첫번째 책!!

실전 해킹 절대 내공!!!

내용은 오픈소스 툴킷을 이용하여 취약점 분석 해킹 등을 다루고 있다.

일단 상용프로그램이 아닌 오픈소스 프로그램으로 해킹이 얼마나 잘되는지 보여주는 책이다.

내용에는 metasploit도 언급이 되어있다.

해킹의 이론부터 핑거프린팅등의 스캐닝부터해서 공격까지 자세하게 서술되어 있는 책이다.

사서 보라고 권하고 싶지만 가격이 비싼관계로 도서관에서 빌려보는게 좋을 듯 하다.

나는 샀다 ..;;(처음출판될때 샀다)

꼭 읽어보길 바란다. 특히 P.T 할 때 크게 도움이 될만한 책이다.
처음으로 칼럼을 쓰는 것 같습니다.

칼럼이라고는 하지만 처음쓰는 거라 두서도 없을것이고.. 이야기도 이리갔다 저리갔다 할 것입니다.

많이 부족하지만 재밌게 읽어주시기 바랍니다~

글 특성상 존칭은 생략 하겠습니다 ^^

===========================================================================================================================================
내가 생각하는 우리나라 보안의식 수준.

우리나라는 요 근래 들어 보안사고들이 수도 없이 터져 나왔다.

옥션사건 부터 내부자의 정보 유출 등등 사사로운 사건들이 많이 일어 났다.

2008년은 우리의 보안의식이 얼마나 저질스럽고 천박한지 일깨워준 소중한 한해였다.

내가 활동하는 네이버 지식인 게시판을 봐도 대부분의 글들이 '해킹당했다. 컴퓨터 전문가님들 도와주삼.' 등등의 글들이다.

저러한 글들을 보고 내가 이러한 글을 쓰는 것은 아니다.

답변이 더 가관이다.

'포맷하삼, 내공냠냠, 그냥 포맷하시죠.'

바이러스에 걸리거나 해킹을 당했다는 질문에는 대부분 저러한 답변들만이 난무 하고 있다.

지식인중에서 최고 어이없는 질문은 작업관리자 창이나 프로그램추가/삭제 창을 캡쳐하여 '여기 중에서 지워야 할 프로그램이나 해킹툴 같은게 어떤건지좀 알려주세요'

어떻게 사진만을 보고 해킹툴인지 지워야할게 무엇인지 알겠는가.

사진만 보고 다 안다면 그것은 '신'이다.

솔직히 구글해킹을 해서 해킹된 사이트들을 알아보면 아직도 해킹도구나 백도어 등이 심어져 있는 홈페이지가 많다.

밑에 사진은 우리나라 사이트 심어져있는 r57shell 사진이다.

보안상 홈페이지 주소는 지우겠다.



조금 더 고급 검색을 시도하면 더 많은 홈페이지들이 나올 것이라 예상된다.

왜냐면, 꼭 웹해킹을 할때 r57shell만 사용하는 것이 아니기 때문이다. 다른 shell도 무지 많기 때문에

수동으로 검색을 몇번 해본다면 심심찮게 발견할 수 있을 것이다.

이것 뿐 만이 아니다.

mysql 등 DB를 설치 할때 DB가 정상적으로 설치 되었나 테스트 해보는 페이지가 있다.

mysql 은 기본적으로 phpinfo 이다.

우리나라에는 아직도 이 페이지를 남겨놓는 사이트들이 무수히 많다.

밑에 사진은 역시나 내가 찾아본 사이트이다. 단 1분만에 찾은 페이지 이다.



이 페이지는 무수히 많은 서버에 정보를 담고 있는 페이지 이다.

지금 이 글을 보고 뜨끔하는 관리자나 홈페이지 운영하시는 분들!!

이 페이지는 가급적 지워주시기 바랍니다.

우리나라의 현실이 이러니... zone-h.kr에 해킹됬다고 안올라 올수가 있겠는가.

보안이란 것은 보안전문가들만 잘해서 되는 것이 아니다.

컴퓨터를 다루는 모든 사람들이 의식을 제대로 갖추고 실천해야만 질이 높아지는 분야이다.

하지만 우리나라사람들은 윈도 방화벽이 게임이나 다른 기타 프로그램들을 실행못하게 한다고 꺼버리질 않나...

백신을 깔아두지만 실시간 감지나 바이러스 검사는 하지 않는게 요즘 현실이다.

바이러스 검사는 해킹사고가 터지고 나서 하는것이 일반인들중에 대부분이 하는 행동이다.

이러한 의식은 지금 당장 갖다 버려야 한다.

그리고 각 단체나 학교 등에서 컴퓨터로 사무용 능력을 기르기 위해 워드나 엑셀등을 가르치고 있다.

물론 이것도 중요하지만.. 조금 더 시간을 투자하여 초등학교 때부터 에티켓이나 보안의식등을 갖추도록 노력을 해야 한다고 나는 생각한다.

다른 교양과목들처럼 필수 과목으로 생겨야 한다는게 내 생각이고 바램이다.

마지막으로 우리나라 사이트들이 범하고 있는 실수!!

바로 DB 등을 설치하고는 대부분의 테이블 이름이나 칼럼등을 Default로 설정하여 사용한다는 것이다.

밑에 사진은 admin 관리자 접속 페이지를 캡쳐한 것들이다.

예의상 url은 지웠다.




두번째 사진은 어떤 사이트가 테크노트 게시판을 연동하여 사용하고 있는데 그 테크노트 관리자 설정게시판이 노출된 사진이다.

이건 뭐, 해킹할 필요도 없지 않은가??

이런 것들이 모두 Default로 설정하여 사용하고 있기 때문이다.

더군다나 관리자 접속 페이지에 조금만 SQL Injection을 가하면 금방 뚫리고 있다.

이러니 해킹을 당할수 밖에 없지 않겠는가.

모두 이 글을 보고 다시한번 자신의 사이트를 점검해보고 살펴보기 바란다.

===========================================================================================================================================

길게 쓰고는 싶으나... 너무 길게 쓰면 다들 보다가 지쳐버리실꺼 같아 짧게 씁니다 ^^;;

어디 퍼가셔서 올리실때는 꼭 출처를 밝혀주시기 바라겠습니다.

출처는 MaJ3stY Blog(http://maj3sty.tistory.com) 입니다.





  1. Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2009.01.29 19:58 신고

    이미지는 클릭해서 보시면 선명하게 보실수 있습니다.

  2. ut0pian 2009.11.26 18:34

    뒤부터 봐서 발견했어요..근데 요즘은 구글해킹은 요즘 위력히 약해졌음을 느끼네요..ㅎ

    구글해킹번역판 나오기 전에는 그냥 연산자 몇개로도 서버 취약점 수십개씩 찾아낼수도

    있었는데..쩝...수고하시네요

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2009.11.27 23:40 신고

      음 그렇게 생각하시다니.. 아직 구글은 위대하답니다 ㅋㅋ

      전 아직도 PT같은거 할 때 구글부터 이용해요 ㅎ

  3. ut0pian 2009.11.28 08:56

    그렇군요...초보자의 막말을 용서해주세요 ㅠㅠ

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2009.11.29 01:04 신고

      막말이라니요 ㅎㅎ

      하나의 의견이죠 ㅎㅎ

      제 말도 하나의 의견 ㅎㅎ

자료도 별로없는 내 블로그에 외국애들이 10명에 1~2명꼴로 놀러오넴...

뭐 보러 올까???

좀 더 글로벌 적인 자료를 올려볼까?? ㅋㅋㅋ

솔직히 자료는 많은데 주변사람들이 위험한 자료들이라고 올리지 말라해서 못올리고 있는뎁....

언제한번 간단하게 웹서버 열어서 공유해야겠구나 ㅋㅋㅋㅋ







Hello, Welcome to my blog is.

I MaJ3sty Korea is a hacker.

Some hackers on my blog saw the writing and found the same.

I you want to work with a variety of different and Payload.

Contact the person to e-mail address under your mind should be.

saiwnsgud@naver.com

Tool and technology skills and share a lot and want geodeupnagil by hackers.

Irc channel, if I sent e-mail address is access.

So, I hope to receive all Happy New Year.


'[+] My Think and LIfe > [-] ETC' 카테고리의 다른 글

작은 팁이랄까...  (3) 2009.02.01
[칼럼] 내가 생각하는 우리나라 보안 수준.  (5) 2009.01.29
티스토리가 대단하긴 대단한듯??  (1) 2009.01.27
아 심심하닷  (0) 2009.01.27
헐...  (0) 2009.01.24
  1. Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2009.01.27 15:47 신고

    대충 알아듣것지 머;; ㅋㅋㅋㅋ

저와 함께 게임하실분~???

요즘 정말 심심하네요

저랑 게임 하실분 연락주세요 ㅋㅋ

근데 무슨 게임을 하지...

'[+] My Think and LIfe > [-] ETC' 카테고리의 다른 글

[칼럼] 내가 생각하는 우리나라 보안 수준.  (5) 2009.01.29
티스토리가 대단하긴 대단한듯??  (1) 2009.01.27
아 심심하닷  (0) 2009.01.27
헐...  (0) 2009.01.24
WebGoat 푸는 도중...  (3) 2009.01.24

+ Recent posts