작가님의 허락을 받고 번역한 글입니다.(원문)
이 기사는 저희의 새로운 시리즈인 "버그 바운티 헌터 방법론"의 첫 포스트입니다. 몇 주가 지나면, 저희는 보안 연구원 혹은 버그 바운티 헌터를 꿈꾸는 사람들에게 도움이 될 정보와 자료들 공유할 것입니다. 피드백이 있다면, 트윗 부탁드립니다. @Bugcrowd.
Bugcrowd에서 저희는 고객사들에게 크라우드 소싱 보안 점검을 통한 보안 강화 서비스를 제공하고 있습니다. 주로 public & private 버그 바운티 프로그램을 통해 이 일들을 처리합니다. 바운티 프로그램은 보상을 제공하고, 보안 취약점 발견자에게 명성을 제공합니다. 많은 금전 보상 바운티에서 성공적인 성과를 거둔 연구원은 Bugcrowd 플랫폼에서 kudos 포인트를 통해 평판 점수를 획득할 수 있습니다.
이 포스트에서 제공할 몇몇 자료들은 이제 막 시작했거나 새로운 기술을 배워보려는 모든 연구원들에게 유용할 것입니다.
해킹에 대해 이제 막 배우기 시작하는 사람들을 위한 특별한 쪽지:
흥미롭고 흥분되는 해킹 분야에서 집중하는 것은 정말 중요합니다. 여러분이 경험 하고 싶은 새로운 분야를 하나 골라 그 분야에 집중하십시오. 최고의 해커가 되려고 한다거나 모든 것을 배우려고 하지 마십시오. Bugcrowd에서 굉장한 성과를 거두고 있는 해커들은 각자만의 전문 분야가 있고, 흥미 분야가 있습니다. 하지만 그들도 해킹에 대한 모든 것을 알고 있지는 않습니다. 작게 시작하고, 크게 만들어가십시오!
해킹은 평생 학습의 여정입니다.
버그 헌터 방법론 (v1)의 첫 버전에서 저희는 웹 앱 점검에 대해 집중할 것입니다. 많은 바운티에서 가장 흔한 점검 대상이기 때문입니다.
꼭 읽어야 하는 자료들:
버그 바운티 헌터가 되기를 희망하는 사람들이 꼭 읽어야 하는 자료를 두가지 고르자면 아래 링크를 걸어두었습니다. 이것들은 최소한의 추천 자료입니다. 즉, 이것 만큼은 읽어보시는게 좋습니다. 이 두 자료는 버그 헌터 방법론을 이해하는데 굉장히 도움이 될만한 레퍼런스가 될 것입니다.
The Web Application Hacker’s Handbook
이 책은 웹앱 해커들 사이에서 바이블이라고 불리는 책으로 반드시 절대적으로 읽어야 하는 책 입니다. 이 책은 백지에서부터 시작해서 도구들과 취약점을 찾는 방법이 설치 되어 있는 칼리 리눅스를 얻는 방법까지 알려줍니다.
실용적인 자료:
OWASP WebGoat – 버그를 찾는 것보다 더 좋은 것은 없습니다. 웹 앱에서 실제 취약점을 찾는 연습을 하기 위해 WebGoat를 사용해보십시오.
웹 해킹과 침투 테스팅에 대해 읽을만한 추가 자료입니다.
모바일 해킹:
IoT 해킹:
추가 자료: JackkTutorials videos on YouTube
Testing Handout: Web Application Hacker’s Handout
작업을 위한 도구 추천
연구원들이 사용하면서 해킹 라이프를 더 쉽게 만들어줄 단점 없는 도구들이 있습니다. 운이 좋게도, 오픈 소스 보안 커뮤니티의 기여나 동료 연구원들 덕분에 많은 도구들을 무료로 사용할 수 있습니다.
이 도구들을 얻기 위해서, 아래 나오는 도구들에 익숙해지는 것을 추천합니다.
Burp Suite - 보안 산업에서 가장 유명한 도구 중 하나로, 웹 앱 해킹을 위한 플랫폼이며 일년에 $349에 사용할 수 있습니다.
OWASP Zap – Burp Suite를 대신하여 사용할 수 있는 유명한 무료 보안 툴입니다. 오픈소스이며, 높은 확장성을 가지고 있습니다.
Kali Linux - 해커의 운영체제로 mac이나 윈도우에서 가상 머신을 활용하여 쉽게 실행할 수 있습니다. 이 OS는 많은 해킹 툴이 설치되어 있습니다.
전에 말했듯이, 다양한 기능을 가지고 있는 많은 도구들이 있습니다. 더 많은 완전한 도구 리스트를 확인하고 싶으시다면, Researcher Resources – Tools thread on the Bugcrowd forum을 확인하시는 것을 추천합니다.
Comments