로그인회원가입장바구니고객센터마이페이지회사소개
kangcom
전체
Home >   >   > 

웹 해킹 & 보안 완벽 가이드

 [: 웹 애플리케이션 보안 취약점을 겨냥한 공격과 방어]
   
지은이 대피드 스투타드 , 마커스 핀토   |   출판사 에이콘  |   발행일 2008년 11월 21일
 
클릭하시면 큰 도서이미지를 보실 수 있습니다.
판매가 40,000원36,000원 10%
마일리지 5% 2,000원
발행일 2008-11-21
ISBN 8960770655 | 9788960770652
기타정보 번역서 | 840쪽 | Paperback
예상출고일
배송비 무료배송
   
보안/안전
종합지수 19p 32 위
   
이 책의 원서
  The Web Application Hackers Handbook: Discovering and Exploiting Security Flaws
WILEY | Dafydd Stuttard
주의사항 더이상 출간되지 않습니다.
 

웹 해킹과 보안의 실전감각을 키우다!

'에이콘 해킹ㆍ보안' 시리즈, 제19권 『웹 해킹 & 보안 완벽 가이드』. 해킹ㆍ보안 전문가들이 저술한, 웹 해킹과 보안에 대한 실전서다. 악의적인 해커가 웹 애플리케이션 보안 취약점을 겨냥하여 공격하는 방법은 물론, 그것을 방어하는 방법을 소개한다. 또한 웹 애플리케이션에서 존재하는 취약점을 찾아 그것을 거치는 방법도 공개하고 있다.

웹 애플리케이션의 보안에 대한 핵심적 메커니즘을 공격하는 방법, 가장 안전하게 보이는 웹 애플리케이션에 대해서 특정한 권한을 획득하는 방법, 자동화된 도구를 이용하여 웹 애플리케이션을 공격하는 방법, 그리고 HTML뿐 아니라, Java, ActiveX, fLASH에 구현되어 있는 클라이언트의 통제를 무너뜨리는 방법 등도 다룬다.

웹 애플리케이션을 보호하는 지침도 담아냈다. 웹 애플리케이션을 안전하게 보호하는 방법을 습득함으로써, 빈틈 없이 해커의 모든 공격에 대비할 수 있도록 인도한다. 또한 웹 애플리케이션을 안전하게 개발하고 관리하기 위해서는 어느 부분을 어떤 방법으로 강화해야 하는지에 대해서도 배울 수 있다.
01장 웹 애플리케이션 보안
웹 애플리케이션의 발전
웹 애플리케이션 보안
정리

02장 핵심 방어 메커니즘
사용자 접근 처리
사용자 입력 값 처리
공격자 핸들링
애플리케이션 관리
정리
확인문제

03장 웹 애플리케이션 기술
HTTP 프로토콜
웹 기능
인코딩 스키마
정리
확인문제

04장 애플리케이션 지도 작성
컨텐츠와 기능 수집
애플리케이션의 분석
정리
확인문제

05 클라이언트 측 통제 우회
클라이언트를 통한 데이터 전송
사용자 데이터의 획득: HTML 폼
사용자 데이터의 획득: thick-client 컴포넌트
클라이언트 측 데이터의 안전한 처리
정리
확인문제

06장 인증 무력화
인증 기술
인증 메커니즘에서 발견되는 설계상의 결함
사용자 인증 구현상의 결함
안전한 사용자 인증 처리
정리
확인문제

07장 세션 관리 공격
사용자의 상태에 대한 유지 필요
세션 토큰을 만드는 과정에서 발생하는 취약점
세션 토큰을 처리할 때 발생하는 취약점
안전한 세션 관리
정리
확인문제

08장 접근 통제 공격
일반적인 취약점
접근 통제 공격
안전한 접근 통제
정리
확인문제

09장 코드 삽입 공격
인터프리터 언어 안에 공격 코드 삽입
SQL 내에 공격 코드 삽입
운영체제 명령의 삽입
웹 스크립트 언어 안에 공격 코드 삽입
SOAP 안으로 공격 코드 삽입
XPath 안으로 공격 코드 삽입
SMTP 안으로 공격 코드 삽입
LDAP 안으로 공격 코드 삽입
정리
확인문제

10장 경로 탐색 공격
일반적인 취약점
경로 탐색 취약점 검색
경로 탐색 공격 예방법
정리
확인문제

11장 애플리케이션 로직 공격
로직 결함의 특징
현실적으로 존재하는 로직 결함
논리적 결함의 회피
정리
확인문제

12장 다른 사용자 공격
크로스사이트 스크립팅
공격의 리다이렉션
HTTP 헤더 인젝션
프레임 인젝션
요청 위조
JSON 하이재킹
세션 고정
액티브X 컨트롤 공격
로컬 비밀 공격
고급 악용 기법
정리
확인문제

13장 맞춤 공격 자동화
맞춤 자동화의 사용
유효한 식별자 수집
유용한 데이터 대량 수집
일반적인 취약점 퍼징
공격 종합: 버프 인트루더
정리
확인문제

14장 정보 노출 공격
에러 메시지 공격
공개된 정보 수집
추론 이용
정보 누설 예방
정리

15장 컴파일된 애플리케이션 공격
버퍼 오버플로우 취약점
정수 취약점
포맷 스트링 취약점
정리
확인문제

16장 애플리케이션 아키텍처 공격
계층적 아키텍처
공유 호스팅과 애플리케이션 서비스 공급자
정리
확인문제

17장 웹서버 공격
웹서버 설정 취약점
웹서버 소프트웨어의 취약점
정리
확인문제

18장 소스코드 내의 취약점 발견
코드 검토에 대한 접근 방식
일반적인 취약점 시그니쳐
자바 플랫폼
ASP.NET
PHP

자바스크립트
데이터베이스 코드 컴포넌트
코드 브라우징에 대한 도구
정리
확인문제

19장 웹 애플리케이션 해커의 도구모음
웹 브라우저
통합된 검사 슈트
취약점 스캐너
그 외의 도구
정리

20장 웹 애플리케이션 해커의 공격 방법론
일반적인 가이드라인
1. 애플리케이션 컨텐츠 맵 작성
2. 애플리케이션 분석
3. 클라이언트 측 통제 검사
4. 인증 메커니즘 검사
5. 세션 관리 메커니즘 검사
6. 접근 통제 검사
7. 입력 기반 취약점에 대한 검사
8. 특정 기능에 대한 입력 값 취약점 검사
9. 로직 결함에 대한 검사
10. 공유된 호스팅 환경에 대한 취약점 검사
11. 웹서버 취약점 검사
12. 그 외 다양한 검사
두 저자는 영국 런던에 있는 Next Generation Security Software에서 보안 컨설턴트로 근무하고 있다.

대피드 스투타드
금융권, 제조업체, 정부 등 수많은 기관에서 웹 애플리케이션에 대한 보안 컨설팅을 수행했다. 대피드는 PORTSWIGGER에서 웹 애플리케이션의 보안 취약점을 찾고 공격하는 데 도움이 되는 유명한 웹 애플리케이션 해킹 툴인 Burp Suite를 개발했다.

마커스 핀토
금융권, 전자상거래 애플리케이션, 정부기관에 있는 보안상 중요하고 민감한 수많은 웹 애플리케이션에 대해 보안 테스트와 대응 방안을 제공하고 있다.

[옮긴이]

조도근(Bit)
서울대학교를 졸업하고 Arthur Andersen의 한국법인(현 안진회계법인)에서 IT 위험관리와 IT 감사를 담당했으며, 국내 정보보안 컨설팅 명가인 A3 Security Consulting에서 정보보안 컨설팅을 담당했다. 특히, A3 Security Consulting에서 모의해킹을 비롯한 기술진단에 주력했던 CR@K 팀을 양성했다. 현재는 국제기구에서 일하고 있다. CISSP, CISA, CFE의 자격증을 보유하고 있다.

김경곤(Ray Kim, Nickname: Anesra)
숭실대학교 컴퓨터학부를 졸업하고, 삼성SDS, 금융권, 대기업, 학교를 비롯한 여러 세미나에서 보안/해킹 강의를 했으며, A3 Security Consulting과 SK 인포섹을 거쳐 현재는 세계적인 글로벌 컨설팅 펌인 삼일PwC에서 시니어 컨설턴트로 일하고 있다. 주업무는 모의해킹과 IT위험 관리, IT 내부 감사이며, 기업, 정부기관 등 80여개의 큰 사이트에 대한 모의해킹과 보안 컨설팅을 수행했으며, 보안 프로젝트 실무에서 익힌 여러 가지 해킹 노하우를 보유하고 있다.

제1회 해킹방어대회에서 대상을 수상해 정보통신부 장관상을 받았으며, 2007년도 세계해킹컨퍼런스인 데프콘에 아시아에서 유일하게 한국팀 멤버로 참여하기도 했다. 그외 EBS와 중앙일보에서 보안 컨설턴트에 대해 인터뷰도 했다.

저서로는 『정보보안 개론과 실습:인터넷 해킹과 보안』(2005)이 있으며 역서로는 『와이어샤크를 활용한 실전 패킷 분석』(에이콘출판사, 2007)이 있다. CISSP(국제공인정보시스템보안전문가) 자격증을 취득했다.

장은경(Rosa Jang)
De La Salle University에서 영어교육학을 전공하고 있으며 2001년도에 개최한 제1회 여성해킹대회 본선에 진출한 경력을 가지고 있다. 국내 유수 보안 그룹에서 활약을 하였으며 IT 분야에 약 7년 간의 경험을 가지고 있다. 역서로는 『와이어샤크를 활용한 실전 패킷 분석』(에이콘출판사, 2007)이 있다.

이현정
서울여자대학교 컴퓨터공학과를 졸업하고, 성균관대학교 정보통신대학원에서 정보보호학과에 재학 중이다. A3 Security Consulting과 SK인포섹에서 금융권, 공공기관, 대기업 등 여러 기업을 대상으로 정보보호 컨설팅의 모의해킹 업무를 수행하였으며, 현재 NCSoft 해외운영보안팀에 재직중이다. ISO27001 선임 심사원 자격증을 보유하고 있다.
등록된 서평이 없습니다.
아이코우 켄...
마이크 쉬마...
마이클 할레...
 
전체평균(0)
회원평점   회원서평수 0
이현정 의 최근 저서
 
2019 CS Leaders 관리사 2주 벼락치기
22,500원
(10%↓+5%)
 
2019 합격예감 텔레마케팅관리사 2주 벼락치기 (필기.실기 동시대비)
22,500원
(10%↓+5%)
 
The Real NCS 자기소개서 면접 끝판왕
13,500원
(10%↓+5%)
 
COS 코딩활용 능력평가 3급 엔트리
13,500원
(10%↓+5%)
 
2018 텔레마케팅관리사 2주 벼락치기 1.2차 동시대비
22,500원
(10%↓+5%)
 
에이콘 출판사의 신간
자바 데이터 분석
존 R. 허바드 [옮긴이] 김명훈 저
31,500원
(10%↓+5%)
 
보안 빅데이터 분석 플랫폼 구축과 활용
김대용 저
31,500원
(10%↓+5%)
 
Functional Programming in C++
이반 추키츠 [옮긴이]김점갑 저
31,500원
(10%↓+5%)
 
스프링 부트 2 레시피
마틴 데이넘 [옮긴이]최정호, 임진욱, 김명훈 저
27,000원
(10%↓+5%)
 
사운드 디자인
앰버 케이스, 애런 데이 저
25,200원
(10%↓+5%)
 
이메일주소수집거부