- 이 글은 버그바운티 플랫폼을 운영 중인 미국의 Bugcrowd 라는 회사에서 Senior Community Manager로 근무하고 있는 Sam Houston 이라는 사람이 Bugcrowd 공식블로그에 게시한 글을 번역한 것입니다.
- 일치하지 않는 사항이나 오류가 있는 경우에는 영문 원본 을 참고하십시오. 원본은 여기에서 확인 가능합니다.
- 버그바운티에 관심이 있으신 분은 페이스북 그룹 "Outside Hackers - 한국 버그바운티 헌터 모임"에 참여하세요.
이 글은 새로운 시리즈인 "버그바운티 헌터 방법론"의 첫번째 포스팅입니다. 앞으로 몇 주에 걸쳐, 우리는 보안 연구원이나 버그바운티 헌터가 되기 위해 도움이 될만한 정보와 리소스를 공유할 것입니다. 만약 여러분이 문의사항이 있다면 @Bugcrowd에 트윗하십시오.
Bugcrowd에서는 보안 강화를 위해 여러 회사들과 함께 크라우드 소스 보안 테스트를 만들고 보안 연구원 커뮤니티와도 협력합니다. 우리는 주로 공개 및 비공개 버그바운티 프로그램을 통해 이를 수행합니다. 우리의 바운티 프로그램은 유효한 보안 취약점을 최초로 발견한 보안 연구원을 인정해주고 그에게 보상을 합니다. 성공적인 보안 연구원은 많은 프로그램에서 그 명성과 포상금을 얻고 Bugcrowd 플랫폼내에서 좋은 평판을 얻을 것입니다.
이 글에서는 이제 막 시작했거나 새로운 기술을 배우려는 모든 연구원이 유용하게 쓸 수 있는 몇 가지 리소스를 소개합니다.
해킹에 대해 이제 막 배우기 시작한 사용자를 위한 참고 사항 :
당신에게 있어 흥미롭고 재미있는 분야에 집중하는 것이 중요합니다. 일단 그 분야에 집중하고 진행해나가면서 새로운 것들을 시작하십시오. "얼티밋 해커"가 되려고 하거나 한번에 모든 것을 배우려고 하지 마세요. Bugcrowd의 유능한 해커들은 전문 분야와 관심 분야를 갖고 있긴 하지만 모든 해킹 방법을 알지는 못합니다. 우선은 작게 시작하고, 나중에 늘려나가세요!
해킹은 평생 학습입니다.
버그 헌터 방법론 (v1)의 첫 번째 버전에서는 웹 애플리케이션 테스트에 초점을 맞출 것입니다. 웹 애플리케이션은 버그바운티를 위한 가장 일반적인 테스트 대상이기 때문입니다.
반드시 읽어야 할 자료들 :
아래에 링크된 두 가지 자료는 버그바운티 헌터가 되려는 사람들을 위한 필독 자료입니다. 이 두 자료는 버그 헌터 방법론을 진행하는 동안 유용한 참고 자료가 될 것 입니다.
The Web Application Hacker's Handbook (한글 번역서 : 웹 해킹&보안 완벽 가이드)
이 책은 웹 애플리케이션 해커의 '바이블'로 간주되는 무조건 읽어야 하는 책입니다. 이 책은 기초부터 시작하여 Kali Linux를 설치하는 과정과 각종 도구를 사용하는 법, 그리고 취약점을 발견하는 방법을 안내합니다.
실습 자료 :
OWASP WebGoat - 실습보다 좋은 방법은 없습니다. WebGoat을 사용하여 실제로 웹 애플리케이션의 취약점을 찾는 연습을 하세요.
웹 해킹 및 모의침투에 관한 추가적인 자료들 :
Penetration Testing: A Hands on Introduction to Hacking
The Hacker Playbook 2: Practical Guide to Penetration Testing
The Tangled Web: A Guide to Securing Web Applications
Penetration Testing Execution Standard
모바일 해킹에 관한 자료들 :
The Mobile Application Hacker’s Handbook
Bugcrowd’s Mobile Security Resource Kit
IoT 해킹에 관한 자료들 :
추가적인 자료들 : 유투브 JackkTutorials 동영상
기타 참고물 : Web Application Hacker’s Handout
도구
보안연구원이 해킹을 보다 쉽게 하기 위해 사용할 수 있는 많은 도구들이 있습니다. 다행히도 상당수의 도구들은 무료로 제공되며 오픈소스 커뮤니티 또는 다른 보안연구원들이 보안 커뮤니티에 무료로 제공할 수도 있습니다.
버그바운티를 시작하려면 다음 도구들에 익숙해지는 것이 좋습니다.
Burp Suite - 업계에서 가장 인기있는 도구 중 하나인 웹 애플리케이션 해킹을 위한 통합 플랫폼입니다. 1년에 349 달러에 Professional 에디션을 이용할 수 있습니다.
OWASP Zap - Burp Suite의 대안으로 사용 가능하며, 인기있는 무료 도구입니다. 오픈 소스이며 확장성이 뛰어납니다.
Kali Linux - Mac 또는 PC상의 가상머신에서 쉽게 실행할 수 있는 해커를 위한 OS입니다. 이 OS에는 수많은 해킹 도구가 미리 설치되어 있습니다.
앞서 말했듯이, 다양한 특정 작업을 위해 사용할 수 있는 많은 도구가 있습니다. Researcher Resources - Tools thread on the Bugcrowd forum를 통해 전체 리스트를 확인하십시오.
'HOW TO HACK > Bug Bounty' 카테고리의 다른 글
| [번역] 버그바운티 헌터 방법론 - 3. 메모와 세션 추적의 중요성 (0) | 2017.11.24 |
|---|---|
| [번역] 버그바운티 헌터 방법론 - 2. 범위의 중요성 (0) | 2017.11.21 |
