우리는 매일 웹사이트에 접속해서 뉴스와 동영상을 보고 정보를 검색합니다. 최근 발달한 클라우드로 중요한 파일을 웹을 통해 저장하기도 합니다. 모바일 애플리케이션의 서버는 웹으로 구현되어 있고, 일반 가정에서 사용하는 공유기와 카메라, 각종 사물 인터넷 기기들의 관리 인터페이스 역시 웹으로 되어 있습니다. 이러한 이유로 웹은 공격자가 내부로 침투하기 위한 최초 관문이 되는 경우가 많습니다. 그렇기에 웹 보안은 아주 중요하고, 앞으로도 더욱 중요해질 분야입니다.

웹 보안을 위한 가장 좋은 방법은 웹 공격이 실제로 어떻게 이루어지는지 알고 대응하는 것입니다.
따라서 이 책에서는 전문적인 보안 지식이 없는 독자라 하더라도 누구나 학습하고 실습함에 어려움이 없도록 최대한 쉽게 설명하고 실습 과정을 자세히 기술하였습니다. 이와 더불어 저자의 실무 경험을 토대로 한 다양한 웹 모의 해킹 팁을 수록하였습니다. 이 책이 웹 관련 각종 실무에서 누구나 항상 옆에 두고 참고할 수 있는 웹 보안 가이드가 되길 바랍니다.

이 책의 특징
- 정보 수집 단계부터 침투까지 각종 웹 모의 해킹 기법 완벽 실습 및 대응 방안 학습
- 최신 웹 보안 트렌드 OWASP Top 10에 포함된 내용 실습 포함
- 웹 모의 해킹 노하우와 웹 개발 시 고려해야 할 핵심 보안 내용 수록

 이 책이 필요한 독자
- 웹 모의 해킹과 웹 보안에 대해 쉽고 재미있게 배우고 싶은 독자
- 정보 보안 전문가를 진로로 하고 있는 독자
- 시큐어 코딩과 웹 애플리케이션 보안에 대해 고민하는 개발자, 테스터, 관리자

 1부 웹 모의해킹 준비

1. 웹과 HTTP 기초
 웹 아키텍처
HTTP
 HTTP 요청 메시지
HTTP 응답 메시지

2. 웹 보안
 보안 취약점과 정보보안의 3요소
 해킹 단계 
 웹 공격 단계
 웹 보안을 위한 공통 고려사항
OWASP Top 10

 3. 실습 환경
 실습 환경 개요
 버추얼박스 설치
 칼리 리눅스 설치
 웹 모의해킹 실습용 가상 머신

4. 버프 스위트(Burp Suite)
 HTTP 프록시 개요
 버프 스위트 설정
 웹 브라우저 프록시 설정
 폭시프록시(FoxyProxy) 애드온
HTTPS 사이트 접속 문제
 버프 스위트의 기능

2부 모의해킹 실습

5. 정보 수집
 배너를 통한 정보 수집
 기본 설치 파일을 통한 시스템 정보 수집
 웹 취약점 스캐닝
 디렉터리 인덱싱
 웹 애플리케이션 매핑
 정보 수집 대응 방법

6. 취약한 인증 공격
 브루트 포스 공격 개요
 브루트 포스 공격 실습
 브루트 포스 공격 대응
 세션ID 노출 사례 및 보호 대책

7. SQL 인젝션 공격
SQL 인젝션 공격 개요
SQL 인젝션 공격 실습
 블라인드 SQL 인젝션 공격
sqlmap 자동화 공격
SQL 인젝션 공격 대응

8. 커맨드 인젝션 공격
 커맨드 인젝션 공격 개요
 커맨드 인젝션 공격 실습
 커맨드 인젝션 공격 대응

9. 크로스 사이트 스크립팅 공격
 리플렉티드 크로스 사이트 스크립팅(Reflected XSS) 공격 개요
 리플렉티드 크로스 사이트 스크립팅(Reflected XSS) 공격 실습
BeEF 공격 프레임워크
 스토어드 크로스 사이트 스크립팅(Stored XSS) 공격 개요
 스토어드 크로스 사이트 스크립팅(Stored XSS) 공격 실습
 크로스 사이트 스크립팅 공격 대응

10. 크로스 사이트 요청 변조(CSRF) 공격
CSRF 공격 개요
CSRF 공격 실습
CSRF 공격 대응

11. 파일 인클루전 공격
 파일 인클루전 공격 개요
 파일 인클루전 공격 실습
 파일 인클루전 공격 대응

12. 파일 업로드 공격
 파일 업로드 공격 개요
 파일 업로드 공격 실습
 파일 업로드 공격 대응

13. 민감한 데이터 노출
HTTP 프로토콜에 의한 노출
 웹 스토리지를 통한 노출 실습
 평문으로 된 패스워드 노출 실습
Base64 인코딩
 민감한 데이터 노출 대응 방안

14. 접근 통제 취약점 공격
 안전하지 않은 직접 객체 참조(IDOR 공격)
관리자 페이지 인증 우회
 디렉터리 트래버설 취약점 공격 실습
 접근 통제 취약점 공격 대응 방안

15. XXE(XML 외부 엔티티) 공격
XXE 공격 개요
XXE 공격 실습
XXE 공격 대응

16. 알려진 취약점을 이용한 공격
 하트블리드(Heartbleed) 취약점 공격 실습
 쉘쇼크(shellshock) 취약점 공격과 리버스 쉘 실습
 메타스플로잇을 활용한 PHP-CGI 취약점 공격
 알려진 취약점 공격 대응

17. 자바 역직렬화 취약점 공격
 자바 역직렬화 취약점 개요
 자바 역직렬화 취약점 공격 실습
 자바 역직렬화 취약점 공격 대응

18. 실전 모의해킹
 환경 구성
 최종 실습
 최종 실습 정리

 부록: VM웨어를 이용한 실습 환경 구성
VM웨어 워크스테이션 플레이어 설치
 가상 이미지 추가
 네트워크 설정