확장메뉴
주요메뉴


소득공제

API 해킹의 모든 것

: REST와 그래프QL 웹 API 기초부터 보안 취약점, 해킹 툴, 퍼징 등 공격 실습까지

리뷰 총점10.0 리뷰 5건 | 판매지수 1,584
베스트
IT 모바일 top100 3주
정가
33,000
판매가
29,700 (10% 할인)
배송안내
서울특별시 영등포구 은행로 11(여의도동, 일신빌딩)
지역변경
  • 배송비 : 무료 ?
분철서비스 시작 시 알려드립니다. 분철서비스 알림신청
  •  국내배송만 가능
  •  최저가 보상
  •  문화비소득공제 신청가능

품목정보

품목정보
발행일 2023년 08월 11일
쪽수, 무게, 크기 400쪽 | 188*245*19mm
ISBN13 9791192987323
ISBN10 1192987322

카드 뉴스로 보는 책

책소개 책소개 보이기/감추기

목차 목차 보이기/감추기

책 속으로 책속으로 보이기/감추기

예제 1-2는 트위터 웹 서버가 성공적인 인증 요청에 302 응답을 보낸 결과입니다. set-cookie 헤더의 auth_token은 hAPI_hacker라는 트위터 계정과 연결된 데이터에 대한 접근을 승인합니다. / 웹 서버는 요청에 응답할 때 응답 메시지와 함께 상태 코드를 보냅니다. 응답 코드는 웹 서버가 요청을 어떻게 처리했는지 나타내는 방법이며, 간단히 말해 클라이언트가 데이터에 접근할 수 있는지 없는지 나타냅니다. 또한 요청한 자원이 존재하지 않거나, 웹 서버에 문제가 있거나, 요청한 자원이 다른 위치로 이동했음을 나타내기도 합니다.
--- p.22

BOLA(broken object level authorization, 객체 수준 권한 부여 결함)는 API에서 가장 흔한 취약점 중 하나입니다. BOLA 취약점은 API 공급자가 접근 권한이 없는 데이터에 대한 접근을 허용할 때 발생합니다. API 엔드포인트에 객체 수준 접근 제어가 없다면 사용자가 권한 있는 데이터에만 접근하도록 제한할 수 없으므로 사용자 A가 사용자 B의 데이터를 요청할 수 있게 됩니다. / API는 이름이나 숫자로 일종의 값을 만들어 객체 식별에 사용합니다. 이런 객체 ID를 발견하면 인증되지 않은 상태, 또는 다른 사용자로 인증된 상태에서 그 자원에 접근할 수 있는지 확인해봐야 합니다. 예를 들어 클라우드 스트라이프(Cloud Strife)라는 사용자가 있다고 합시다. 클라우드가 https://bestgame.com/api/v3/users?id=5501에 GET 요청을 보내고 다음과 같은 응답을 받았습니다.
--- p.63

버프 스위트(Burp Suite)는 포트스위거(PortSwigger)가 개발하고 관리하는 훌륭한 웹 애플리케이션 테스트 도구 모음입니다. 버프 스위트는 API 요청 캡처, 웹 애플리케이션 크롤링, API 퍼징 등 다양한 기능을 제공하므로 웹 애플리케이션 사이버 보안 전문가나 버그 현상금 사냥꾼, API 전문가라면 버프 스위트를 사용하는 법을 익혀야 합니다. (…) OWASP 커뮤니티 페이지에는 퍼징(fuzzing)을 ‘자동 버그 찾기’라고 표현한 글이 있습니다. 퍼징은 HTTP 요청에 다양한 타입의 입력이나 데이터를 보내 애플리케이션이 예상하지 못한 방법으로 응답하게 만들어 취약점을 드러냅니다. 예를 들어 API를 공격하다가 데이터를 보낼 수 있다는 걸 깨달았다면 여러 가지 SQL 명령어 전송을 시도할 수 있습니다. 공급자가 이런 입력에서 유효성 검사를 하지 않는다면 SQL 데이터베이스가 사용 중이라는 응답을 받을 수 있습니다.
--- p.85

DVGA(Damn Vulnerable GraphQL Application)는 의도적으로 취약하게 만든 그래프QL 애플리케이션이며 돌레브 파르히(Dolev Farhi)와 코너 매키넌(Connor McKinnon)이 개발했습니다. 그래프QL의 인기가 나날이 올라가고 페이스북, 넷플릭스, AWS, IBM 같은 기업에서도 채택하고 있으므로 이 애플리케이션을 선택했습니다. 또한 그래프QL IDE가 얼마나 활발히 개발되는지 알면 놀랄 겁니다. 그래피클은 가장 널리 쓰이는 그래프QL IDE 중 하나입니다.
--- pp.128~129

Nmap은 포트 스캔, 취약점 검색, 서비스 열거, 실제 호스트 발견 등을 돕는 강력한 도구입니다. (…) API를 발견하려는 목적인 경우 일반 탐지와 전체 포트 두 가지 방식으로 Nmap 스캔을 사용해야 합니다. Nmap의 일반 탐지 스캔은 대상에 대해 기본 스크립트와 서비스 열거를 실행하고 나중에 검토할 수 있도록 결과를 세 가지 형식으로 저장합니다. XML로 저장하려면 -oX를, Nmap으로 저장하려면 -oN을, grep으로 가공할 수 있는 형태로 저장하려면 -oG를, 세 가지 형식을 모두 저장하려면 -oA를 사용합니다.
--- p.156

crAPI 인증 페이지로 돌아가 인증 절차를 공격해봅시다. crAPI의 인증 절차는 계정 등록, 비밀번호 리셋, 로그인 세 부분으로 이루어져 있습니다. 이 세 부분을 모두 철저히 테스트해야 합니다. (…) 버프 스위트가 열려 있고 폭시프록시가 버프 스위트로 트래픽을 가로채도록 설정되어 있는지 확인하십시오. 그리고 crAPI 공급자로 전달되는 요청을 가로채서 전달합니다. 이메일 주소와 비밀번호를 정확히 입력했다면 HTTP 200 응답과 소지자 토큰을 받습니다. / 지금쯤 소지자 토큰의 패턴이 눈에 보일 겁니다. 토큰은 마침표로 구분된 세 부분이며 첫 번째와 두 번째는 ey로 시작합니다. https://jwt.io나 jwt_tool을 사용해 JWT를 분석합니다. 그림 8-14는 JWT.io의 디버거 화면입니다.
--- p.222

출판사 리뷰 출판사 리뷰 보이기/감추기

추천평 추천평 보이기/감추기

API의 중요성이 점점 높아지는 최근 상황에서 API 보안과 테스팅의 거의 모든 것을 담은 책이라고 할 수 있습니다. 실습 위주로 구성되어 있어서 API 관련 기술을 효과적으로 습득하고 실무에 쉽게 활용할 수 있는 책입니다.
- 최만균 (『디지털 트윈 개발 및 클라우드 배포』, 『어반 컴퓨팅』, 『사이버 보안』 역자)
책 제목 그대로 API를 해킹하는 방법을 정확히 다룹니다. 기본적인 정의에서 시작해 널리 알려진 API 약점 및 해킹 모범 사례, 그리고 그 배경 이론까지 망라하므로 공격자의 마인드셋을 갖추고 읽으면 좋습니다. 책은 여러 도구의 소개와 간단한 맛보기로 시작해, API 퍼징에서 복잡한 접근 제어 악용에 이르기까지 모든 걸 아주 효과적이고 간결하게 설명합니다. 디테일한 랩 실습, 팁과 트릭, 실무 예제로 무장한 이 책은 워크숍 과정을 완전히 책 한 권에 모두 넣었다고 해도 과언이 아닙니다.
- 에레즈 얄론(Erez Yalon) (체크마크스(Checkmarx) 보안 연구 부장, OWASP API 보안 프로젝트 리더)
코리 볼은 API의 수명 주기를 생생하게 안내합니다. 이 책을 읽으면 호기심을 느낄 뿐만 아니라, 새로 배운 것을 시험해보고 싶어 안절부절못하게 될 겁니다. 개념, 예제, 도구 소개부터 세부 사항 시연에 이르기까지 빠짐없이 설명합니다. 이 책은 API 해킹의 왕도이므로 개발-보안-운영의 방법론을 진지하게 받아들이는 사람이라면 누구든 이 책을 가까이해야 합니다.
- 크리스 로버츠(Chris Roberts) (vCISO 그룹 에토패스(Ethopass)의 전략 고문)
이 책은 침투 테스트에 입문하려는 사람에게 대단히 유용합니다. 특히 많은 최신 웹 애플리케이션의 약점이 된 API 보안 테스트를 시작할 수 있는 도구를 제공합니다. 또한 침투 싸움에서 승리하기 위한 유용한 자동화 팁이나 보안 우회 기법도 다양하게 설명하므로 경험 많은 보안 전문가라도 이 책에서 많은 것을 얻을 수 있을 겁니다.
- 비키 리(Vickie Li) (『Bug Bounty Bootcamp』 저자)
이 책은 아직 자세히 알려지지 않은 API 해킹이라는 주제의 문을 열어줍니다. 가장 중요한 접근 제어 문제를 강조하여 설명하므로 API 보안의 모든 걸 이해할 수 있고, 큰 상금과 명예를 얻을 수도 있으며, 규모와 관계없이 모든 조직의 API 보안을 전체적으로 향상할 수 있습니다.
- 아이넌 슈케디(Inon Shkedy) (트레이서블 AI(Traceable AI) 보안 연구원, OWASP API 보안 프로젝트 리더)
인터넷에는 사이버 보안에서 생각할 수 있는 모든 주제에 대한 정보가 가득하지만, 그럼에도 API 침투 테스트를 확실하게 성공하는 건 쉽지 않습니다. 이 책은 이런 수요를 완전히 만족시킵니다. 사이버 보안 분야의 초보자뿐만 아니라 경험 많은 전문가도 이 책의 도움을 받을 수 있습니다.
- 크리스티 블라드(Cristi Vlad) (사이버 보안 분석가이자 침투 테스터)
API 로직의 결함은 사실상 제로 데이 취약점이며, 각 취약점은 API마다 다르게 나타납니다. 제대로 된 API 보안 테스트는 연속적이어야 하고 포괄적이어야 합니다. 1년에 한두 번 테스트하는 정도로는 새로운 위협을 방어할 수 없습니다. API 취약점을 발견하려면 새로운 기술, 새로운 도구, 새로운 접근법이 필요합니다. 세계는 그 어느 때보다 『API 해킹의 모든 것』을 필요로 합니다.
- 댄 바라오나(Dan Barahona) (APIsec.ai 최고 전략 책임자)

회원리뷰 (4건) 회원리뷰 이동

한줄평 (1건) 한줄평 이동

총 평점 10.0점 10.0 / 10.0

배송/반품/교환 안내

배송 안내
반품/교환 안내에 대한 내용입니다.
배송 구분 예스24 배송
  •  배송비 : 무료배송
포장 안내

안전하고 정확한 포장을 위해 CCTV를 설치하여 운영하고 있습니다.

고객님께 배송되는 모든 상품을 CCTV로 녹화하고 있으며, 철저한 모니터링을 통해 작업 과정에 문제가 없도록 최선을 다 하겠습니다.

목적 : 안전한 포장 관리
촬영범위 : 박스 포장 작업

  • 포장안내1
  • 포장안내2
  • 포장안내3
  • 포장안내4
반품/교환 안내

상품 설명에 반품/교환과 관련한 안내가 있는경우 아래 내용보다 우선합니다. (업체 사정에 따라 달라질 수 있습니다)

반품/교환 안내에 대한 내용입니다.
반품/교환 방법
  •  고객만족센터(1544-3800), 중고샵(1566-4295)
  •  판매자 배송 상품은 판매자와 반품/교환이 협의된 상품에 한해 가능합니다.
반품/교환 가능기간
  •  출고 완료 후 10일 이내의 주문 상품
  •  디지털 콘텐츠인 eBook의 경우 구매 후 7일 이내의 상품
  •  중고상품의 경우 출고 완료일로부터 6일 이내의 상품 (구매확정 전 상태)
  •  모바일 쿠폰의 경우 유효기간(발행 후 1년) 내 등록하지 않은 상품
반품/교환 비용
  •  고객의 단순변심 및 착오구매일 경우 상품 반송비용은 고객 부담임
  •  직수입양서/직수입일서중 일부는 변심 또는 착오로 취소시 해외주문취소수수료 20%를 부과할수 있음

    단, 아래의 주문/취소 조건인 경우, 취소 수수료 면제

    •  오늘 00시 ~ 06시 30분 주문을 오늘 오전 06시 30분 이전에 취소
    •  오늘 06시 30분 이후 주문을 익일 오전 06시 30분 이전에 취소
  •  직수입 음반/영상물/기프트 중 일부는 변심 또는 착오로 취소 시 해외주문취소수수료 30%를 부과할 수 있음

    단, 당일 00시~13시 사이의 주문은 취소 수수료 면제

  •  박스 포장은 택배 배송이 가능한 규격과 무게를 준수하며, 고객의 단순변심 및 착오구매일 경우 상품의 반송비용은 박스 당 부과됩니다.
반품/교환 불가사유
  •  소비자의 책임 있는 사유로 상품 등이 손실 또는 훼손된 경우
  •  소비자의 사용, 포장 개봉에 의해 상품 등의 가치가 현저히 감소한 경우 : 예) 화장품, 식품, 가전제품, 전자책 단말기 등
  •  복제가 가능한 상품 등의 포장을 훼손한 경우 : 예) CD/LP, DVD/Blu-ray, 소프트웨어, 만화책, 잡지, 영상 화보집
  •  소비자의 요청에 따라 개별적으로 주문 제작되는 상품의 경우
  •  디지털 컨텐츠인 eBook, 오디오북 등을 1회 이상 다운로드를 받았을 경우
  •  eBook 대여 상품은 대여 기간이 종료 되거나, 2회 이상 대여 했을 경우 취소 불가
  •  모바일 쿠폰 등록 후 취소/환불 불가
  •  중고상품이 구매확정(자동 구매확정은 출고완료일로부터 7일)된 경우
  •  LP상품의 재생 불량 원인이 기기의 사양 및 문제인 경우 (All-in-One 일체형 일부 보급형 오디오 모델 사용 등)
  •  시간의 경과에 의해 재판매가 곤란한 정도로 가치가 현저히 감소한 경우
  •  전자상거래 등에서의 소비자보호에 관한 법률이 정하는 소비자 청약철회 제한 내용에 해당되는 경우
소비자 피해보상
  •  상품의 불량에 의한 반품, 교환, A/S, 환불, 품질보증 및 피해보상 등에 관한 사항은 소비자분쟁해결기준(공정거래위원회 고시)에 준하여 처리됨
환불 지연에
따른 배상
  •  대금 환불 및 환불 지연에 따른 배상금 지급 조건, 절차 등은 전자상거래 등에서의 소비자 보호에 관한 법률에 따라 처리
  •  쿠폰은 결제 시 적용해 주세요.
1   29,700
뒤로 앞으로 맨위로 공유하기