품목정보
발행일	2011년 01월 26일
쪽수, 무게, 크기	236쪽 \| 566g \| 18523520mm
ISBN13	9788960771758
ISBN10	8960771759

더보기

1장 크로스사이트 스크립팅 HTML 인젝션의 이해 인젝션 가능 지점 찾기 XSS 공격 유형 안전한 문자셋 처리 오동작을 이용한 필터 우회 금지 문자는 사용하지 않는 XSS 공격 브라우저의 특징 고려 기타 고려 사항 방어법 문자셋 명시 문자셋과 인코딩의 정규화 출력 인코딩 제외 목록과 정규식 사용 시 주의점 코드 재사용(다시 구현하지 말자) 자바스크립트 샌드박스 정리 2장 크로스사이트 요청 위조 크로스사이트 요청 위조의 이해 강제 브라우징을 이용한 요청 위조 이미 인증된 사용자 공격 CSRF와 XSS의 위험한 만남 POST를 이용한 공격 다양한 방식으로 접근 가능한 웹 CSRF의 변형: 클릭재킹 방어법 웹 애플리케이션 방어 웹 브라우저 방어 정리 3장 SQL 인젝션 SQL 인젝션의 이해 질의문 깨부수기 데이터베이스 정보 추출 기타 공격 벡터 방어법 입력 검증 질의문 보호 정보 보호 데이터베이스 최신 패치 유지 정리 4장 잘못된 서버 설정과 예측 가능한 웹페이지 잘못된 서버 설정과 예측 가능한 웹페이지로 인한 공격의 이해 안전하지 않은 디자인 패턴 식별 운영체제 공격 서버 공격 방어법 파일 접근 제한 객체 참조 사용 취약한 함수의 차단 권한 확인 의무화 네트워크 연결 제한 정리 5장 인증 방식 우회 인증 공격의 이해 세션 토큰 재활용 브루트포스 스니핑 암호 초기화 크로스사이트 스크립팅 SQL 인젝션 사용자 속이기 방어법 세션 쿠키 보호 사용자 개입 사용자 귀찮게 하기 요청 처리율 제한 기록과 다중 분석 추가적인 인증 기법의 사용 피싱 방어 암호 보호 정리 6장 로직 공격 로직 공격의 이해 작업 흐름의 오용 정책과 실무의 허점 공격 귀납법 서비스 거부 취약한 디자인 패턴 정보 선별 방어법 요구 사항 문서화 광범위한 테스트 케이스 생성 정책 반영 방어적 프로그래밍 클라이언트 검증 정리 7장 신뢰할 수 없는 웹 멀웨어와 브라우저 공격의 이해 멀웨어 브라우저 플러그인의 다면성 도메인 네임 시스템과 출처 방어법 안전한 웹 서핑 브라우저 고립 DNS 보안 확장 정리

더보기

저자 소개 관련자료 보이기/감추기

저자 : 마이크 셰마 Mike Shema

취약점 관리 회사인 퀄리스(Qualys)에서 웹 애플리케이션 스캐닝 서비스 부문을 담당하는 리드 개발자다. 웹 애플리케이션 스캐닝 서비스란, 다양한 웹 취약점을 자동으로 정확하게 진단해주는 서비스를 말한다. 퀄리스에 오기 전에는 파운드스톤(Foundstone)에서 보안 컨설팅 업무를 담당하며 정보 보안 분야의 다양한 경험을 축적했다. 마이크는 무선 보안 등의 네트워크 보안과 웹 애플리케이션 모의 해킹 분야의 교육 프로그램을 만들고 직접 가르쳐왔다. 이렇게 다양한 경험을 바탕으로 북미, 유럽, 아시아 등지에서 열리는 블랙햇(BlackHat), 인포섹(InfoSec), RSA 등의 학회에서 다양한 주제의 연구 결과를 발표했다.
마이크는 『Anti-Hacker Toolkit』, 『Hacking Exposed: Web Applications』 2판을 공동 집필하기도 했다. 현재 샌프란시스코에 거주하며, 이 자리를 빌려 자신의 촌스럽고 서툰 플레이를 참아준 동료 RPG 게이머들에게 감사의 마음을 표했다.

역자 : 민병호

서울대학교 컴퓨터공학과에서 학사와 석사를 마쳤으며, 보안 연구가를 꿈꾸며 계속 정진 중이다. 옮긴 책으로 에이콘출판사에서 펴낸 『TCP/IP 완벽 가이드』(2007), 『새로 보는 프로그래밍 언어』(2008), 『리눅스 방화벽』(2008), 『크라임웨어』(2009)가 있다.

더보기

책 속으로 책속으로 보이기/감추기

웹과 관련된 말이나 비유 중 가장 마음에 드는 것을 꼽아보자. 여러분이 선택한 말에 웹 보안의 일반적인 개념이 녹아있을 수도 있고 웹사이트들이 처한 위협과 위험의 이미지가 담겨있을 수도 있다. 이 책에서는 공격자가 가장 많이 사용하는 치명적인 7가지 취약점을 통해 웹 보안의 다양한 면을 살펴본다. 7가지 공격 기법 중에는 자주 들어봤을 법한 공격 기법도 있는가 하면 신문지상에서는 좀처럼 보기 어려워 낯설게 느껴지는 기법도 있다. 공격자는 크로스사이트 스크립팅(XSS)이나 SQL 인젝션 같이 주목을 많이 받는 기법만 사용하지는 않는다. 오히려 특정 웹사이트의 로직을 공격하는 공격자도 있는데, 이때 이용되는 공격 기법은 범용적이지 않을 뿐만 아니라 방어적 입장에서 봤을 때도 일반적인 기법으로는 탐지하기 어렵다.

웹상에서는 정보가 곧 돈이다. 공격자는 자신이 탈취한 신용카드 정보를 암거래 사이트에서 팔 수 있다. 개인 신상 정보, 암호, 이메일 주소, 온라인 게임 계정 등도 모두 암거래 사이트에서 거래된다. 기업 첩보나 국가적 차원의 네트워크 공격은 어떤가? 사람이나 회사나 국가 사이에 발생할 수 있는 모든 종류의 사기나 속임수, 계략이나 음모 등은 모두 웹에서 일어나는 공격에 매핑될 수 있다. 결국 웹상의 비공개 정보를 불법적으로 빼내려는 해킹은 계속될 수밖에 없다.

전반적인 내용과 주요 학습 포인트
이 책에서는 각 장마다 그 내용에 해당하는 웹사이트 공격 기법의 예를 소개하고 해당 공격의 원리를 살펴본다. 또 공격으로 인해 발생할 수 있는 피해와 이를 최소화하기 위한 방어법도 알아본다. 공격을 근본적으로 차단하는 방어법을 고안해야 하기 때문에 공격 기법의 원리를 이해하는 게 매우 중요하다. 그리고 특정 취약점의 방어법으로 다른 취약점까지 차단할 수 없다는 사실도 알아야 한다. 또 방어법에 따라 간단히 소개만할 수도 있고 책 전반에 걸쳐 여러 번 살펴볼 수도 있다. 보안은 다양한 방어법을 단순히 결합해 얻을 수 있는 것이 아니라 웹사이트를 총체적으로 이해할 때 달성할 수 있다.---저자 서문 중에서

보안 실무자와 모의 해킹 전문가가 바로 활용할 수 있는 최신 기술이 담긴 책!
웹 보안의 개념과 실전 예제가 모두 담긴 책!

웹 보안이 보안 분야의 화두가 된 후 웹 해킹과 웹 보안을 다룬 책이 많이 나왔습니다. 그렇기에 2010년에 웹 보안 책이 왜 다시 나왔는지 궁금할 수도 있습니다. 하지만 해킹 기술, 특히 웹 해킹 기술은 1년이 다르게 급변하고 있습니다. 트위터, 레딧(reddit), 해커 포럼 등 다양한 곳에서 저마다 신기술이 소개되는 요즘에 보안 실무자에게 가장 중요한 건 최신 기술을 빨리 습득하고 이해하는 것입니다.

그러나 세상은 특정 기술에 집중해서 귀 기울일 수 없을 정도로 빨리 돌아가며, 당장 해결해야 할 업무는 넘쳐나고 공부할 것도 많은 게 현실입니다. 이런 의미에서 최신 기술을 모은 책을 펴내는 건 아주 가치 있는 일이라 생각합니다. 특히 XSS, SQL 인젝션 등과 같이 오래된 공격 기술의 최신 구현을 소개하는 건 대부분의 웹 보안 입문서가 간과하는 부분입니다. 예를 들어 웹 보안 입문서에는 XSS를 다룰 때 가장 간단한 형태의 구현 예제인 「script」alert(1)「/script」 정도만 소개하는 게 보통입니다. 실질적으로 보안 실무자나 보안을 공부하려는 사람에게 필요한 건 이미 대부분의 애플리케이션 방화벽이 차단하는 기본적인 XSS 구현이 아니라 요즘에도 통하는(어느 정도 수준의 방화벽도 우회할 수 있는) 최신 XSS의 예입니다. 그래야 실제로 발생하는 웹 해킹 시도를 차단할 수도 있고 모의 해킹도 잘 수행할 수 있기 때문입니다.

『해킹 초보를 위한 웹 공격과 방어』는 이런 부분을 시원하게 긁어 줍니다. 최신 웹 보안 신기술을 소개하는 동시에 웹 보안의 기본 개념과 최신 구현 방법도 다뤘습니다. 이 책의 백미는 기존 책에서 찾아볼 수 없는 최신 웹 보안 동향과, 바로 적용할 수 있는 실질적인 예제라고 할 수 있습니다. 웹 보안 실무자와 학생에게 꼭 필요한 필독서로 누구나 부담 없이 읽을 수 있는 분량이지만 최근까지의 웹 보안 핵심이 모두 담겨있습니다. 웹 보안의 최신 사례나 웹 해킹과 웹 보안의 기본을 익히고 싶은 사람 모두 이 책을 읽으면 대부분의 궁금증을 해소할 수 있으리라 생각합니다.

---옮긴이의 말 중에서

출판사 리뷰 출판사 리뷰 보이기/감추기

보안 실무자와 모의 해킹 전문가가 바로 활용할 수 있는 최신 기술이 담긴 책! 웹 보안의 개념과 실전 예제가 모두 담긴 책! 『해킹 초보를 위한 웹 공격과 방어』는 기존의 웹 보안 관련 서적이 놓치고 있는, 하지만 많은 독자가 궁금해 하는 내용에 답을 주는 책이다. 개념만 나와있어 실전에 응용하기 어려운 책이나 공격 기법은 자세히 다루면서 방어법은 지나치게 간단히 다루는 책에 아쉬움을 느꼈다면, 이 책을 읽음으로써 갈증을 말끔히 해소할 수 있다. 적은 분량임에도 불구하고 매우 실질적인 공격 예제와 최선의 방어법을 모두 담고 있는 책이 바로 『해킹 초보를 위한 웹 공격과 방어』이다. 취약점을 정확히 찾아내 철저히 방어하자! 일반 사용자나 웹 개발자, 관리자가 모두 알아야 하는 보안 위협을 다루는 이 책은 인터넷을 사용하는 모든 이의 필독서다. 저자 마이크 셰마는 보안 위협을 자세히 다룰 뿐만 아니라 위협 자체를 철저히 막거나 피해를 최소화할 수 있는 방어법을 함께 제시한다. 이 책을 읽고 나면 세상의 웹사이트를 보는 시각 자체가 바뀔 것임에 틀림없다. - 앤드류 웨이트 보안 연구가, 인포새니티 리서치 웹 애플리케이션과 관련된 최신 공격 기법을 놓치고 싶지 않다면 반드시 이 책을 읽어야 한다. 이 책에서는 가장 위험한 웹 애플리케이션 공격 기법을 철저히 분석함과 동시에 안전한 웹사이트를 구축할 수 있는 방어법도 다룬다. 책에 나온 설명을 따르다 보면 악의적인 공격을 막을 수 있는 최고의 방법을 배우고, 여러분의 컴퓨터와 네트워크를 공격자로부터 안전하게 지키는 데 필요한 기술을 익힐 수 있다. 이 책에서 다루는 공격 기법 7가지 1. 크로스사이트 스크립팅(XSS) 2. 크로스사이트 요청 위조(CSRF) 3. SQL 인젝션 4. 잘못된 서버 설정과 예측 가능한 웹페이지 5. 인증 방식 우회 6. 로직 공격 7. 멀웨어와 브라우저 공격 "해킹 초보를 위한"이라는 제목을 달고 연이어 출간될 이 시리즈에서는 이 분야에서 가장 영향력이 큰 공격 기법을 주로 다룬다. 시리즈를 모두 읽고 방어법을 익히자! 이 책의 대상 독자 메일이나 쇼핑, 업무 등 어떤 목적으로든 인터넷을 사용하는 사람이라 꼭 읽어야 할 책이다. 웹사이트의 보안은 대부분 개발자가 책임지지만 웹 애플리케이션을 이용하는 사용자 역시 보안 웹 서핑(브라우징) 수칙을 지킴으로써 자신의 데이터를 보호할 수 있다. 이런 맥락에서 매일 방문하는 사이트의 개인정보가 어떻게 해킹당할 수 있으며, 그 사이트에 어떤 악성 코드가 감염될 수 있는지 알아두는 편이 좋다. 웹 애플리케이션 개발자나 보안 전문가는 이 책에서 다루는 웹 공격의 원리와 기술적인 부분에 집중하면 좋다. 안전한 웹사이트를 만드는 첫 단계가 바로 취약한 코드의 위협과 위험을 이해하는 것이기 때문이다. 더욱이 이 책에서는 특정 프로그래밍 언어나 기술에 관계없이 웹사이트에 적용할 수 있는 방어법도 소개한다. 관리자 위치에 있는 독자라면 웹사이트의 위협 요소와 웹 브라우저만으로도 수행 가능한 간단한 공격이 유발할 수 있는 막대한 피해를 이해해둬야 한다. 이 책을 읽으면 간단한 공격이라도 이를 막기 위한 적절한 방어법을 구현하는 데에는 많은 노력과 시간이 든다는 사실을 알게 될 것이다. 그리고 이러한 이해를 통해 웹사이트의 정보를 보호하기 위한 보안에 인적, 물적 자원을 아낌없이 지원하게 될 것이다. 웹에 대한 간단한 상식 정도만 있다면 이 책을 읽는 데 어려움은 없다. 웹사이트 공격자는 페이로드를 삽입하거나 프로토콜의 허점을 이용하기 위해 HTTP 트래픽을 변조하기도 하고, HTML 페이지의 입력 폼을 조작하거나 악성 코드를 삽입하기도 한다. 물론 이 말을 구체적으로 이해하지 못했다고 해서 해킹으로 인한 피해나 해킹 기법을 배우는 데 문제가 되지는 않는다. 예를 들어 HTTP 프로토콜에서 기본적으로 평문 트래픽에는 80번 포트를, SSL로 암호화된 트래픽에는 443번 포트를 이용하며, SSL 연결은 https://로 나타낸다는 사실 정도만 알면 된다. 이 이상의 내용은 공격과 방어 기법을 좀 더 자세히 이해하려는 개발자나 보안 전문가가 알아야 할 사항이다. 이 책의 구성 이 책은 총 7개 장으로 웹사이트와 브라우저에 대한 주요 공격 유형을 다룬다. 각 장에서는 우선 실제 사이트의 해킹 사례를 소개한 후 공격자가 이용한 취약점을 자세히 알아본다. 각 장을 순서대로 읽을 필요는 없다. 대다수의 공격 기법은 서로 연관돼 있으며, 방어법을 무력화하기 위해 함께 사용되기 때문에 웹 보안의 다양한 측면을 이해하는 게 중요하다. 특히 웹 보안에서는 웹사이트뿐만 아니라 웹 브라우저도 중요하다는 사실을 반드시 알아야 한다.

회원리뷰 (0건) 회원리뷰 이동

리뷰 쓰기

혜택 및 유의사항?

등록된 리뷰가 없습니다!

첫번째 리뷰어가 되어주세요.

한줄평 (0건) 한줄평 이동

한줄평 쓰기

혜택 및 유의사항?

등록된 한줄평이 없습니다!

첫번째 한줄평을 남겨주세요.

배송/반품/교환 안내

배송 안내

반품/교환 안내에 대한 내용입니다.
배송 구분	예스24 배송 배송비 : 무료배송
포장 안내	안전하고 정확한 포장을 위해 CCTV를 설치하여 운영하고 있습니다. 고객님께 배송되는 모든 상품을 CCTV로 녹화하고 있으며, 철저한 모니터링을 통해 작업 과정에 문제가 없도록 최선을 다 하겠습니다. 목적 : 안전한 포장 관리 촬영범위 : 박스 포장 작업

반품/교환 안내

상품 설명에 반품/교환과 관련한 안내가 있는경우 아래 내용보다 우선합니다. (업체 사정에 따라 달라질 수 있습니다)

반품/교환 안내에 대한 내용입니다.
반품/교환 방법	고객만족센터(1544-3800), 중고샵(1566-4295) 판매자 배송 상품은 판매자와 반품/교환이 협의된 상품에 한해 가능합니다.
반품/교환 가능기간	출고 완료 후 10일 이내의 주문 상품 디지털 콘텐츠인 eBook의 경우 구매 후 7일 이내의 상품 중고상품의 경우 출고 완료일로부터 6일 이내의 상품 (구매확정 전 상태)
반품/교환 비용	고객의 단순변심 및 착오구매일 경우 상품 반송비용은 고객 부담임 직수입양서/직수입일서중 일부는 변심 또는 착오로 취소시 해외주문취소수수료 20%를 부과할수 있음 단, 아래의 주문/취소 조건인 경우, 취소 수수료 면제 오늘 00시 ~ 06시 30분 주문을 오늘 오전 06시 30분 이전에 취소 오늘 06시 30분 이후 주문을 익일 오전 06시 30분 이전에 취소 직수입 음반/영상물/기프트 중 일부는 변심 또는 착오로 취소 시 해외주문취소수수료 30%를 부과할 수 있음 단, 당일 00시~13시 사이의 주문은 취소 수수료 면제 박스 포장은 택배 배송이 가능한 규격과 무게를 준수하며, 고객의 단순변심 및 착오구매일 경우 상품의 반송비용은 박스 당 부과됩니다.
반품/교환 불가사유	소비자의 책임 있는 사유로 상품 등이 손실 또는 훼손된 경우 소비자의 사용, 포장 개봉에 의해 상품 등의 가치가 현저히 감소한 경우 : 예) 화장품, 식품, 가전제품, 전자책 단말기 등 복제가 가능한 상품 등의 포장을 훼손한 경우 : 예) CD/LP, DVD/Blu-ray, 소프트웨어, 만화책, 잡지, 영상 화보집 소비자의 요청에 따라 개별적으로 주문 제작되는 상품의 경우 디지털 컨텐츠인 eBook, 오디오북 등을 1회 이상 다운로드를 받았을 경우 eBook 대여 상품은 대여 기간이 종료 되거나, 2회 이상 대여 했을 경우 취소 불가 중고상품이 구매확정(자동 구매확정은 출고완료일로부터 7일)된 경우 LP상품의 재생 불량 원인이 기기의 사양 및 문제인 경우 (All-in-One 일체형 일부 보급형 오디오 모델 사용 등) 시간의 경과에 의해 재판매가 곤란한 정도로 가치가 현저히 감소한 경우 전자상거래 등에서의 소비자보호에 관한 법률이 정하는 소비자 청약철회 제한 내용에 해당되는 경우
소비자 피해보상	상품의 불량에 의한 반품, 교환, A/S, 환불, 품질보증 및 피해보상 등에 관한 사항은 소비자분쟁해결기준(공정거래위원회 고시)에 준하여 처리됨
환불 지연에 따른 배상	대금 환불 및 환불 지연에 따른 배상금 지급 조건, 절차 등은 전자상거래 등에서의 소비자 보호에 관한 법률에 따라 처리