책소개
대규모 네트워크를 고속으로 스캔해 어떤 네트워크 포트가 열려 있는지 점검하여 온라인 상태인 시스템을 확인하는 대표적인 포트 스캐닝 도구인 Nmap을 보완하면서 다양한 영역의 취약점 진단을 분석하기 위해 만들어진 것이 NSE(Nmap Scripting Engine)이다. 그리고 MongoDB는 기존 데이터베이스보다 간편한 확장과 다양한 기능을 제공하기 때문에 널리 사용되고 있다. 그런데 MongoDB는 보안에 취약하다. 특히 최근에 MongoDB를 구동하는 시스템을 파괴하는 등 MongoDB의 취약점으로 인한 피해가 증가하고 있다. 이 책에서는 MongoDB의 스크립트인 mongodb-databases.nse, mongodb-info.nse, mongodb-brute.nse를 실습하고 분석한다. 그리고 시나리오에 기반한 실습을 진행하고, 대응방안을 모색한다.
저자소개
저자 : 원준호
저자 원준호는 학부에서 정보보안동아리를 소규모로 만들어 보안취약점 분석과 관련된 프로젝트를 진행하며 정보보안 분야에 입문하였다. 또한 보안프로젝트의 연구원으로 활동하며 모의해킹을 분석하였다. 현재, 관심 분야는 오픈 소스 기반 데이터베이스에 대한 취약점 분석 및 모의해킹이다.
저자 : 조정원
저자 조정원은 보안프로젝트(www.boanproject.com) 대표로 활동하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 하였고, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스코드 진단 등 다양한 영역에서 취약점 진단을 수행하였다. 이후 KTH 보안 팀에서 모바일 서비스, 클라우드 서비스 보안, 침해사고 대응 업무를 하였고, KB투자증권에서 보안 업무를 담당했다. 주요 저서로는 <비박스를 활용한 웹 모의해킹 완벽실습>, <버프스위트 활용과 웹 모의해킹>, <워드프레스 플러그인 취약점 분석과 모의해킹>(이상 한빛미디어, 2015), , (이상 비팬북스, 2015), <안드로이드 모바일 앱 모의해킹>, <안드로이드 모바일 악성코드와 모의해킹 진단>, <칼리리눅스를 활용한 모의해킹>(이상 에이콘출판사, 2014), <모의해킹이란 무엇인가>(위키북스, 2014), <디지털 포렌식의 세계>(인포더북스, 2014), <크래커 잡는 명탐정 해커>(성안당, 2010) 등이 있으며, 보안프로젝트 멤버들과 함께 다양한 영역에서 활동하고 있다.
저자 : 최재진
저자 최재진은 대진대학교에서 컴퓨터공학과를 전공하였으며 차세대융합기술연구원에서 멘토링 프로그램을 통해 디지털 포렌식 개론 프로젝트를 하였다. 졸업 이후 현재 보안프로젝트의 연구원으로 모의해킹 분야에서 활동하고 있다. 관심 분야는 최신 시스템의 보안 취약점 분석과 디지털 포렌식이다.
저자 : 추다영
저자 추다영은 신흥대학교에서 소프트웨어개발을 전공하고 졸업 후 국가전략산업직종 훈련을 통해 보안에 입문하였다. 현재 보안프로젝트 연구원으로 활동을 시작하여 모의해킹 및 취약점 분석을 하고 있다. 관심 분야는 최신 해킹 사고에 대한 취약점 분석과 연구이다.
목차
1. NSE(Nmap Scripting Engine) 개요
1.1 NSE 주요 기능
1.2 NSE의 구조
1.3 NSE의 주요 스크립트
2. MongoDB 이해 및 취약점 사례
3. MongoDB Nmap NSE 스크립트 분석 및 실습
3.1 mongodb-databases.nse 분석
3.1.1 스크립트 실습
3.1.2 스크립트 분석
3.2 mongodb-info.nse 분석
3.2.1 스크립트 실습
3.2.2 스크립트 분석
3.3 mongodb-brute.nse 분석
3.3.1 스크립트 실습
3.3.2 스크립트 분석
4. 시나리오 기반 스크립트 활용
4.1 실습 환경
4.2 시나리오
4.3 스크립트 실습
5. 대응 방안
참고 문헌
.png){kind=logo}
.jpg)
.jpg)
