인터넷을 위협하는 API 해킹의 굴레에서 벗어나라!안녕하세요 여러분! 오늘도 특별한 신간을 가져왔어요.현재 웹상에서 동작하는 거의 모든 애플리케이션이 API를 사용하고 있는데, 이처럼 사용량이 크게 늘면서 공격 표면이 넓어지면서 많은 공격을 받게 됐습니다.문제는 짧은 시간에 성장하기 때문에 #API 보안은 아직 부족하다는 것입니다.거기에 API에는 민감한 정보가 많이 들어 있는 편이기 때문에 공격자에게는 절호의 기회인 셈입니다.그래서 J-POP이 공격자의 마음으로 API를 하나하나 해킹하는 방법을 알려주는 책을 가져왔습니다.API의 작동 원리와 취약점을 이해하고 다양한 공격 유형을 알아야 해킹에 대비할 수 있습니다.이 책을 통해 REST와 그래프QL 웹 API의 기초부터 보안 취약점, 해킹 도구, 퍼지 등 다양한 해킹 도구를 활용하여 알려진 모든 유형의 API 공격을 실습할 수 있습니다.API 해킹의 모든 것 저자 Corey J. Ball출판 제이펍 발매 2023.08.11.《API 해킹의 모든 것》 개발자 서평단 모집 [서평단 지원 방법]Jeipubmarketer 비공식 블로그(jeipubmarketer) 이웃추가 이 게시물에 댓글로 도서 기대평 남기기 당첨 시, 도서 수령 후 14일 이내 온라인 서점 1곳과 개인 SNS로 서평 업로드 [서평단 지원기간] 응모기간 : 2023년 7월 25일 ~ 2023년 7월 30일 당첨발표 : 2023년 7월 31일 (3명)《API 해킹의 모든 것》 개발자 서평단 모집 [서평단 지원 방법]Jeipubmarketer 비공식 블로그(jeipubmarketer) 이웃추가 이 게시물에 댓글로 도서 기대평 남기기 당첨 시, 도서 수령 후 14일 이내 온라인 서점 1곳과 개인 SNS로 서평 업로드 [서평단 지원기간] 응모기간 : 2023년 7월 25일 ~ 2023년 7월 30일 당첨발표 : 2023년 7월 31일 (3명)Previous imageNext imageREST와 그래프 QL웹 API의 기초부터 보안 취약점 해킹 도구 퍼지 등의 공격 실습까지!최근 AI의 지나치게 뛰어난 검색과 학습 능력이 자주 화제가 되고 있습니다.이런 현상을 범죄로 볼것인지 판단하기는 어렵지만 이런 흐름 때문에 피해를 받는 기업이나 개인이 점점 늘어난다는 것은 분명합니다.이 머리 문자를 쓰는 시점에서도 며칠 전에 부산 대학의 인공 지능 연구실에서 개인과 학생에게 무료로 공개한 맞춤법 검사기 사이트에서 누군가가 2일 동안 500만건을 검사한 적이 있습니다.누구인지는 모르겠습니다만, 알려져도 개인이면 처벌과 구상이 어렵죠.”공개했다”데이터를 취득하는 행위를 법적으로 금지할 수 있을지는 모르겠어요.그러나 이런 행동을 통해서 이익을 얻을 수 있다면 누군가는 법으로 막으려고 막으려고 하지 않고도 계속 시도하죠.결국 내 재산은 내 손으로 지켜야 합니다.그런 면에서 그동안 비교적 방어가 허술했던 API보안을 집중적으로 다룬 이 책의 출판은 정말 시기 적절하게 보입니다.단순히”이런 부분을 이렇게 방어하는 그런 부분은 저렇게 막는다” 같은 기술의 나열에 그치지 않고 놓치기 쉬운 약점을 어떻게 발견할지도 포괄적이고 쉽게 설명하므로 보안 전문가가 아니라도 읽어 보면 취할 부분이 많다고 생각합니다.『 API해킹 모두 』, 번역자의 머리 글자Previous imageNext imageREST와 그래프 QL웹 API의 기초부터 보안 취약점 해킹 도구 퍼지 등의 공격 실습까지!최근 AI의 지나치게 뛰어난 검색과 학습 능력이 자주 화제가 되고 있습니다.이런 현상을 범죄로 볼것인지 판단하기는 어렵지만 이런 흐름 때문에 피해를 받는 기업이나 개인이 점점 늘어난다는 것은 분명합니다.이 머리 문자를 쓰는 시점에서도 며칠 전에 부산 대학의 인공 지능 연구실에서 개인과 학생에게 무료로 공개한 맞춤법 검사기 사이트에서 누군가가 2일 동안 500만건을 검사한 적이 있습니다.누구인지는 모르겠습니다만, 알려져도 개인이면 처벌과 구상이 어렵죠.”공개했다”데이터를 취득하는 행위를 법적으로 금지할 수 있을지는 모르겠어요.그러나 이런 행동을 통해서 이익을 얻을 수 있다면 누군가는 법으로 막으려고 막으려고 하지 않고도 계속 시도하죠.결국 내 재산은 내 손으로 지켜야 합니다.그런 면에서 그동안 비교적 방어가 허술했던 API보안을 집중적으로 다룬 이 책의 출판은 정말 시기 적절하게 보입니다.단순히”이런 부분을 이렇게 방어하는 그런 부분은 저렇게 막는다” 같은 기술의 나열에 그치지 않고 놓치기 쉬운 약점을 어떻게 발견할지도 포괄적이고 쉽게 설명하므로 보안 전문가가 아니라도 읽어 보면 취할 부분이 많다고 생각합니다.『 API해킹 모두 』, 번역자의 머리 글자친구에게 송금할 때 애플리케이션을 열고 몇 번 클릭하는 것만으로는 송금할 수 없는 세계를 상상해 보세요. 또는 하루에 몇 걸음을 걸었는지, 운동은 얼마나 했는지, 영양 섭취는 어땠는지를 하나의 애플리케이션이 아니라 세 가지로 각각 모니터링해야 한다면 어떨까요? 아니면 비행기 요금을 비교하기 위해 각 항공사의 웹사이트마다 들어가 본다면?물론 이러한 세계를 상상하는 것은 어렵지 않습니다. 우리는 몇 년 전까지만 해도 이런 세상에 살았으니까요. 하지만 API가 모든 것을 바꿨습니다. API는 기업 간 협업을 가능하게 하고 기업이 애플리케이션을 만들고 실행하는 방식을 바꿨습니다. API 사용량은 폭발적으로 증가했으며, 아카마이가 2018년 10월 작성한 보고서에 따르면 전체 웹 트래픽의 83%를 차지한다고 합니다.하지만 인터넷의 대부분이 그렇듯 뭔가 좋은 일이 있으면 사이버 범죄자가 알아차립니다. 이러한 범죄자들에게 API는 매우 비옥하고 유리한 토양입니다. API에는 매우 맛있어 보이는 두 가지 특징이 있습니다. (1) 민감한 정보가 많이 섞여 있어 (2) 보안 취약점이 사방에 열려 있습니다.일반적인 애플리케이션 아키텍처에서 API가 수행하는 역할에 대해 생각해 봅시다. 모바일 앱에서 은행 잔고를 체크한다고 생각해 봅시다. API가 내부적으로 이 정보를 요청하여 애플리케이션으로 전송합니다. 마찬가지로 대출을 신청하면 은행은 API를 통해 여러분의 신용정보를 조회합니다. API는 사용자와 백엔드의 민감한 시스템 사이에 위치합니다. 사이버 범죄자가 API 계층에 침투할 수만 있다면 매우 가치 있는 정보에 직접 접근할 수 있습니다.API는 전례가 없을 정도로 널리 사용되고 있지만 보안은 아직 취약합니다. 나는 최근 100년 역사의 에너지 회사의 정보 보안 최고 책임자와 이야기를 나누다가 그들의 조직 전체에서 API를 사용하고 있다는 것을 알고 놀랐습니다. 그러나 그는 곧 다음과 같이 지적했습니다. 내부 감사를 할 때마다 필요 없는 권한이 주어진다는 것을 발견하곤 합니다. 이해할 수 있는 이야기입니다. 개발자는 항상 버그를 수정하고 사용자에게 새로운 버전을 제공하며 서비스에 기능을 추가해야 합니다. 충분히 생각해서 몇 달 주기로 개선하는 것이 아니라 나이틀리 빌드(nightly build)를 만들어내고 매일같이 커밋해야 합니다. 코드를 변경할 때마다 보안 문제를 고려하기에는 말 그대로 시간이 없고, 따라서 발견하지 못한 취약점이 실무 서버로 올라갈 수 있습니다.그러나 느슨한 API 보안은 거의 항상 예상치 못한 결과로 이어집니다. 미국 우정청(USPS)을 예로 들어봅시다. 우정청에서는 조직이나 일반 사용자가 우편물 배달 상황을 볼 수 있는 인포메이션 비시빌리티라는 API를 만들었습니다. 물론 이 API는 인증된 사용자에게만 정보를 제공합니다. 문제는 일단 인증을 받은 사용자는 어떤 사용자의 정보라도 열람할 수 있다는 것으로, 이 구멍을 통해 6천만 명의 사용자 정보가 노출됐습니다.피트니스 회사인 펠로톤도 회사의 앱이나 장치에서 API를 사용합니다. 그러나 이 API들 중 하나는 인증도 거치지 않고 펠로톤 서버를 호출해 응답을 받을 수 있었습니다. 이 보안 취약점을 통해 400만 명가량의 다른 모든 페로톤 장비 사용자들의 계정 정보를 검색해 민감할 수 있는 개인 정보에 접근할 수 있었습니다. 심지어 미국 대통령 조 바이든조차 이 무방비한 엔드포인트로 개인정보가 노출됐습니다.세 번째 예를 들어보겠습니다. 전자결제 기업 벤모는 API를 통해 애플리케이션과 금융기관을 연결합니다. 그들이 사용하는 API 중 하나는 최근 트랜잭션을 무기명으로 표시하는 마케팅 기능의 용도로 사용됩니다. 물론 사용자 인터페이스에서는 민감한 정보를 모두 숨겨 보이지 않게 처리하지만 API를 직접 호출하면 트랜잭션 내용을 모두 볼 수 있었습니다. 악의적인 사용자가 이 API를 통해 약 2억 건의 트랜잭션을 수집했습니다.이런 사고가 워낙 자주 일어나자 분석가 기업 가트너는 2022년 API 취약점이 ‘가장 빈번한 공격 루트’가 될 것으로 예측했고, IBM은 클라우드 취약점 중 3분의 2는 잘못된 API 때문이라고 보고했습니다. 이러한 취약점은 API 보안에 새로운 접근법이 필요하다는 신호입니다. 과거에 작성된 응용 프로그램 보안 솔루션은 가장 자주 발생하는 공격과 취약성만을 방어할 수 있습니다. 예를 들어 공통 취약점과 노출(CVE) 데이터베이스를 기반으로 IT 시스템의 결함을 검색하는 자동화된 스캐너도 있고, 웹 애플리케이션 방화벽은 트래픽을 실시간으로 모니터링하면서 알려진 결함을 포함해 악의적인 요청을 차단합니다. 이러한 도구들은 알려진 위험을 감지하도록 설계되었지만 지금 API를 위협하고 있는 보안 문제의 핵심을 해결하지는 못합니다.문제는 API의 취약성이 다양하다는 점입니다. API마다 완전히 다를 뿐만 아니라 전통적인 애플리케이션과도 다르게 만들어져 있습니다. USPS의 취약성은 보안 구성의 결함이 아니라 비즈니스 로직의 결함이었습니다. 즉, 이 서비스의 애플리케이션 로직에는 인증된 사용자가 다른 사용자 소유의 데이터에도 액세스할 수 있다는 의도하지 않은 약점이 포함되어 있었습니다. 이 유형의 결함은 객체 레벨 권한 부여 실패라고 불립니다. 애플리케이션 로직에서 사용자 권한을 잘못 부여한 결과입니다.간단히 말해서 이러한 독특한 API 로직의 결함은 사실상 제로데이 취약점으로, 각 취약점은 API마다 다르게 나타납니다. 이처럼 위협의 범위가 다양해지는 만큼 API 보안에 관심 있는 침투 테스터나 버그 현상금 사냥꾼에게 ‘API 해킹의 모든 것’과 같은 책이 꼭 필요합니다. 또 보안 문제가 개발 프로세스에 떠넘기는 추세인 만큼 API 보안도 회사 정보보안 부서가 해야 할 일이라고 말하기도 어렵습니다. 이 책은 기능 테스트와 단위 테스트 외에도 보안 테스트도 수행하고자 하는 열정적인 엔지니어 팀에게 많은 도움이 됩니다.적절한 API 보안 테스트는 연속적이고 포괄적이어야 합니다. 1년에 1, 2회 테스트하는 정도로는 새로운 위협을Previous image Next image 세계에서 가장 실용적인 API 해킹 가이드북!보안, 해킹이라는 무거운 주제를 다루고 있지만 실제로 사용할 수 있는 툴과 돗카ー 등을 활용한 실습, 그리고 메타 등 실제 기업의 버그 바웅티 사례 덕분에 상쾌하고 흥미로운 내용이 전개됩니다.보안 관련 전문 지식이 없어도 읽기 어렵지 않습니다.공격뿐만 아니라 기본적인 방어가 불가결한 웹 개발자에게도 충분한 가치가 있습니다.김영현(Microsoft MVP)이 책은 API 취약점의 종류, 찾는 방법, 악용하는 방법을 다루고 있으며 API를 보호하는 방법도 다루고 있습니다. 웹 API의 취약점을 포괄적으로 다루고 있기 때문에 API 취약점에 대한 이해를 넓히고 API를 보호하고자 하는 독자들에게 권장합니다. 또한 다양한 실습이 포함되어 있어 도구 사용법을 배울 수 있고 약점 발견을 배우는 데 도움이 됩니다.심주현(삼성전자)많은 도구, 그리고 많은 참고 자료를 알려준다는 점에서 좋은 책이라고 생각합니다. 많은 내용을 알려주기 때문에 책에 없는 내용은 책에서 알려준 곳에 가서 직접 해봐야 할 부분이 많습니다. 조금 더 하나하나 따라갈 수 있는 튜토리얼 형식도 좋았지만, 여러 주제를 다루기 위해 내용을 얕게 다룬다는 점에서 납득했습니다.윤수혁(코나아이)API해킹에 관한 포괄적인 내용을 다룹니다.웹 애플리케이션의 작동 방식으로 API을 해부하며 해커의 관점에서 API의 취약성을 파악하는 방법부터 효과적인 해킹 도구와 OSINT를 활용한 공격 표면 분석, API의 취약성을 찾아내고 악용하는 방법 등을 취급하므로, API의 보안을 강화하려는 보안 전문가나 개발자에게 유용한 실무 지침서가 될 거예요.최근 트위터에서 정말 많이 리트윗된 책을 베타 리딩 수 있어 좋았어요.이 학 인(이·하쿠인 대법원API 해킹을 위해 필요한 기초지식부터 유용한 해킹기법과 실제 사례, 버프스위트 등 업계에서 주로 사용하는 툴에 대해 알차게 알려줍니다. API 보안을 강화하기 위한 탄탄한 지식 기반을 갖추는 재미를 느낄 수 있었습니다. 보안담당자또는해커를꿈꾸시는분들은물론API기반서비스를운영하고개발하시는분들께도매우유용한지침서가될것입니다.전태일(삼성SDS)공격 및 대상의 칼리 리눅스 2대를 설치한 뒤 다양한 툴을 활용하고 취약성을 공격하는 실습을 실시합니다.REST/그래프 QL API공격, SQL/NoSQL주입, BOLA등의 기술적 수법 외에도, 비즈니스 로직의 결함이나 속도 제한 우회 등 다양한 공격에서 작은 틈도 안 놓치는 구성이 매력적인 책입니다.바흐 스위트, 포스트맨, SQL맵, 아ー마스, 카이토 주자, 니쿠고, 아루쥰 등 수많은 공격 도구와 기법으로 공격할 점이 일종의 예술이라고 생각할 만큼 인상적이고 예리하다고 생각했다.API호출 시, 게이트 웨이 같은 하드웨어에서 일어나는 변화에 대한 설명도 있어 내용을 입체적으로 이해하기에 도움이 되었습니다.프로그래머블 웹이나 구글 해킹(도킹)등 반드시 보안면 외에도 개발시에 도움이 될 유용한 도구의 활용법 및 팁을 많이 받을 수 있어서 더 좋았습니다.다만 Linux의 환경 구성 등에서 트러블 슈팅의 경험이 충분하지 않은 독자는 실습을 모방하는 데 어려움이 있을 것입니다.호·민(한국 외국어대)API의 중요성이 점점 커지고 있는 요즘 상황에서 API 보안과 테스트의 거의 모든 것을 담은 책이라고 할 수 있습니다. 실습 위주로 구성되어 있어 API 관련 기술을 효과적으로 습득하고 실무에 쉽게 활용할 수 있는 책입니다. 최만균(《디지털 트윈 개발 및 클라우드 배포》,《어반컴퓨팅》,《사이버보안》역자)책의 제목대로 API을 해킹하는 방법을 정확히 다룹니다.기본적인 정의에서 시작되면서 널리 알려진 API의 약점이나 해킹의 모범 사례, 그리고 그 배경 이론까지 망라하고 있으므로, 공격자의 마인드 세트를 갖추고 읽으면 좋겠어요.책은 다양한 툴의 소개와 간단한 맛보기 시작해서 API퍼지부터 복잡한 접속 제어의 악용에 이르기까지 모든 것을 매우 효과적이고 간결하게 설명합니다.디테일한 랩 실습, 칩 트릭, 실무적으로 무장한 이 책은 워크숍 과정을 완전히 책 1권에 다 넣었다고 해도 과언이 아닙니다.라 마레 즈…야 론(체크 막스 보안 연구 부장, OWASP API보호 프로젝트 리더)코리 공은 API의 라이프 사이클을 리얼하게 안내합니다.이 책을 읽으면 호기심을 느낄 뿐 아니라 새로 배운 것을 맛 보고 싶어서 안절부절할 것입니다.개념, 예제, 툴의 소개부터 상세한 시범까지 모두 설명합니다.이 책은 API해킹의 왕도이어서 개발-보안-운영의 방법론을 진지하게 받아들이는 사람이라면 누구라도 이 책에 붙여야 합니다.크리스·로버츠(vCISO그룹 에토 패스의 전략 고문)이 책은 침투 시험에 입문하려는 사람에게 매우 편리합니다.특히 대부분의 최신 웹 어플리케이션의 약점이 된 API보안 테스트를 시작할 수 있는 기능을 제공합니다.또 침투전에서 승리하기 위한 유용한 자동화 칩이나 보안 우회 기법도 다양하게 설명하고 있으니, 경험 풍부한 보안 전문가라도 이 책에서 많은 것을 볼 수 있을 겁니다.비 끝(《Bug Bounty Bootcamp)저자)이 책은 아직 자세히 알려지지 않은 API해킹이라는 주제의 문을 열어 줍니다.가장 중요한 접근 통제 문제를 강조하고 설명하므로 API보호의 모든 것을 이해할 수 있어 큰 상금과 명예를 얻을 수도 있다, 규모에 관계 없이 모든 조직의 API보안을 전체적으로 향상시킬 수 있습니다.아이 강남·슈케디(트레이 시 불 AI보안 연구원, OWASP API보호 프로젝트 리더)인터넷에는 사이버 보안에서 생각할 수 있는 모든 주제에 대한 정보가 가득하지만 그래도 API 침투 테스트를 확실하게 성공시키기는 쉽지 않습니다. 이 책은 이러한 수요를 완전히 만족시킵니다. 사이버 보안 분야의 초보자뿐만 아니라 경험 많은 전문가도 이 책의 도움을 받을 수 있습니다.크리스티 블러드(사이버보안분석가이자 침투테스터)인터넷에는 사이버 보안에서 생각할 수 있는 모든 주제에 대한 정보가 가득하지만 그래도 API 침투 테스트를 확실하게 성공시키기는 쉽지 않습니다. 이 책은 이러한 수요를 완전히 만족시킵니다. 사이버 보안 분야의 초보자뿐만 아니라 경험 많은 전문가도 이 책의 도움을 받을 수 있습니다.크리스티 블러드(사이버보안분석가이자 침투테스터)그러면 여러분 안녕! 다음에 또 만나요~
