해커스랩

추천도서: 침투테스터를 위한 구글 해킹

전세계 국민을 해킹한 해킹팀을 해킹한 피니어스 피셔(Phineas Fisher)가 적극 추천한 도서라는 것만으로 이 책은 긴 말이 필요 없을 둣 싶다. 피니어스 피셔는 해킹팀 해킹 방법을 상세 설명한 문서를 통해 구글 검색을 조금만 해도 예상치 못했던 정보를 얻을 수 있으며, 침투테스터를 위한 구글 해킹(Google Hacking for Penetration Testers, Third Edition)은 해킹을 위해 구글을 어떻게 사용해야 할지 알게 해 주는 성경과도 같은 책이라고 격찬했다.

오늘날 구글은 가장 인기좋은 검색 엔진으로 자리 잡았지만 구글의 강력함은 우리가 알고 있는 것 이상으로 때로는 공개 되어서는 안될 정보를 구글 검색으로 찾는 경우가 있다. 이 책은 보안 전문가들과 시스템 관리자들을 위해 쓰여진 책으로 구글을 이용해 민감한 정보와 취약점을 찾아내고, 역으로 구글을 이용해 자신이 운영하는 사이트 보안을 점검하는 방법을 소개한다.

이 책이 처음 출판된 것은 2004년, 2007년 개정, 그런 뒤 오랜 침묵을 깨고 작년 12월 3판이 출판되었다. 3판에는 구글 스크립트, 다른 검색 엔진과 API 활용하기 등등 많은 것들이 추가되고 수정되었으며, 유용한 링크들도 많이 포함되어 있다.

작가 조니 롱(Johnny Long)은 잘 알려진 보안 전문가로 그동안 데프콘, 블랙햇, ShmooCon, 마이크로소프트 블루햇 보안 컨퍼런스 등에서 많은 발표를 했으며, 비영리 보안 사이트 Hackers for Charity 운영자이기도 하다. 이 사이트는 컴퓨터와 사무실 장비를 수집해 개발도상국에 기증하며, 그는 개인적으로 아프리카를 여행해 네트워크 설정과 마을 인프라 구축을 도왔다.

이 책은 완전 고수를 위한 책은 아니고, 그렇다고 완전 초보용도 아닌, 구글로 좀 더 편하게 해킹하는 입문서다. IT나 보안 지식이나 Tcpdump, MRTG, Nmap, ntop, 심지어 perl 등의 프로그래밍 언어가 필요한 Chapter도 있고, 설명이 부실한 부분도 있지만 대체적으로 쉽게 작성된 책으로 구글 검색을 좋아하고, 더 많은 걸 찾아내고 싶은 사람들은 누구나 이용할 수 있을 것이다.

 

1장: 구글 검색 기초

 

2장 고급 연산자

 

3장 구글 해킹 기초

 

4장: 문서와 데이터베이스 파헤치기

 

 

 

5장: 정보 수집 프레임워크

 

6장: 익스플로잇과 공격 대상 찾아내기

 

7장: 유용한 검색어 10개

  1. SITE
  2. INTITLE:INDEX.OF
  3. ERROR | WARNING
  4. LOGIN | LOGON
  5. USERNAME | USERID | EMPLOYEE.ID \ “YOUR USERNAME IS”
  6. PASSWORD | PASSCODE | “YOUR PASSWORD IS”
  7. ADMIN | ADMINISTRATOR
  8. -EXT:HTML -EXT:HTM -EXT:SHTML -EXT:ASP -EXT:PHP
  9. INURL:TEMP | INURL:TMP | INURL:BACKUP | INURL.BAK
  10. INTRANET | HELP.DESK

 

8장: 웹서버, 로그인 포털, 네트워크 하드웨어 추적

 

9장: 유저네임, 패스워드, 민감 정보

 

10장: 구글 서비스 해킹

 

11장: 구글 해킹 자료

 

 

 

12장: 구글 해커로부터 스스로를 보호하기

 
결론
이 책은 침투 테스트 수행 시 필요한 정보를 깊고 쉽게 찾는 방법을 담은 책으로재미나게 쓰여졌고, 스크린샷도 많고, 예제도 훌륭하고, 유용한 링크도 많다. 내용에 관한 설명이 부실하거나 이해가 가지 않는 부분이 있어도 예제 검색어로 실제 해 보면 저절로 이해가 되어 응용이 가능하다. 익숙하기까지 약간의 시간만 투자하면 남은 삶이 편해진다. 보안 전문가, 사이트 관리자, 웹 개발자는 물론 평소 구글 검색에 관심있는 geek들께 권해드리고 싶다!