가트너는 “2022년부터 API 남용이 가장 빈번한 공격 경로로 대두”할 것이라고 예측했고, 이는 현실이 되었습니다. 아카마이나 씨디네트웍스 등 주요 IT 업체들도 API 보안에 크게 주목하고 있습니다. 개발자들이 API 키를 하드코딩하는 일은 흔히 있는 일이지만(^^), 최근에는 챗GPT 열풍과 함께 API 보안 이슈가 다뤄지기도 했습니다.
사이버 범죄자들, 오픈AI API 키 스크랩해서 GPT4를 무허가로 사용한다
현재 웹에서 돌아가는 거의 모든 애플리케이션이 API를 사용한다고 해도 과언이 아닙니다. 덕분에 사용자들은 더 편리하게 서비스를 이용할 수 있게 되었습니다. 아카마이에 따르면 이미 2019년에 API 트래픽이 당사 전체 트래픽의 83%를 차지했다고 합니다. 이렇게 사용량이 크게 늘며 ‘공격 표면’이 넓어져 많은 공격을 받게 되었지만, 단시간에 성장하다 보니 API 보안은 아직 부족한 실정 같습니다. 거기에다 API에는 민감한 정보가 많이 들어 있는 편이니 공격자들에게는 절호의 기회인 셈이죠.
여기, 공격자의 마음으로 API를 차근차근 해킹하는 법을 알려주는 책이 있습니다. REST 웹 API가 어떻게 작동하는지부터 시작해, 널리 알려진 일반적인 API 취약점들을 살펴보고, 칼리 리눅스 실습 시스템(공격 및 방어)을 구축한 다음, 다양한 도구를 활용해 발견(사전 조사), 엔드포인트 분석, 인증/인가 공격, 퍼징, 대량 할당, 주입 등 알려진 모든 공격 기법을 실습해보는 책입니다.
가상 머신에 칼리 리눅스와 도구를 설치하는 데 어려움을 겪을 수 있습니다. 도구는 계속 업데이트되므로 스크린숏을 지면에 실어도 그대로 따라 할 수 없게 되는 일이 비일비재합니다. 원서에서 소개한 사이트들이 출간 이후에 사라져버리기도 했습니다. 번역과 편집 과정에서 이러한 어려움을 극복하려 최대한 노력했지만, 판단은 독자 여러분에게 맡깁니다. 부족한 부분이 있다면 언제든 제이펍에 문의해주세요.
이 책은 침투 테스트에 입문하려는 사람에게 대단히 유용합니다. 특히 많은 최신 웹 애플리케이션의 약점이 된 API 보안 테스트를 시작할 수 있는 도구를 제공합니다. 또한 침투 싸움에서 승리하기 위한 유용한 자동화 팁이나 보안 우회 기법도 다양하게 설명하므로 경험 많은 보안 전문가라도 이 책에서 많은 것을 얻을 수 있을 겁니다.
_ 비키 리(Vickie Li), 《Bug Bounty Bootcamp》 저자
■ 미리보기(지은이·감수자·옮긴이 소개, 옮긴이 머리말, 베타리더 후기, 추천사, 추천 서문(댄 바라오나), 감사의 글, 이 책에 대하여, 0장 일부)
■ 도서구매 사이트(가나다순)
[교보문고] [도서11번가] [알라딘] [예스이십사] [인터파크] [쿠팡] |
■ 제이펍 소식 더 보기(제이펍의 소통 채널에서 더욱 다양한 소식을 확인하세요!)
포스트 유튜브 인스타그램 트위터 페이스북 |
'출간 전 책 소식' 카테고리의 다른 글
그런 날 있잖아 스프링 부트를 배우고는 있지만 무작정 실전에서 써보고 싶은... 그런 날 (0) | 2023.08.29 |
---|---|
AI 시대에 개발자의 경쟁력을 높이는 컴퓨팅 사고의 비밀 (0) | 2023.07.27 |
식탁을 더 특별하게, 식사 시간을 더 즐겁게 만들어 줄 마법의 레시피 (0) | 2023.07.20 |
사랑받는 제품을 만드는 4가지 방법 (0) | 2023.07.13 |
우리 앱스 스크립트로 프로그램 만들고 칼퇴할까요? (0) | 2023.06.29 |