Top

[웹 철벽 보안을 위한]
백트랙 4 모의 해킹 세트

  • 원서명BackTrack 4: Assuring Security by Penetration Testing, Seven Deadliest Web Application Attacks
  • 지은이샤킬 알리, 테디 헤리얀토, 마이크 셰마
  • 옮긴이민병호
  • ISBN : 9788960772250
  • 47,000원
  • 2011년 08월 22일 펴냄 (절판)
  • 페이퍼백 | 672쪽 | 188*235mm
  • 시리즈 : 해킹과 보안

판매처

  • 현재 이 도서는 구매할 수 없습니다.

책 소개

[ 세트 구성: 전2권 ]

1) 『BackTrack 4 한국어판: 공포의 해킹 툴 백트랙 4』
2) 『해킹 초보를 위한 웹 공격과 방어』


『BackTrack 4 한국어판: 공포의 해킹 툴 백트랙 4』 소개

최초로 백트랙(BackTrack) 운영체제를 다룬 책으로서, 침투 테스트(모의 해킹)의 A에서 Z까지를 모두 다룬다. 워낙 다양한 해킹 툴을 다루다 보니 독자 입장에서는 ‘양날의 칼과 같은 해킹 툴이 악용되면 어쩌려고 이런 책을 출간했나’하는 걱정을 할 수도 있다. 하지만 구더기 무서워 장 못 담그랴. 해킹 툴을 널리 알려 윤리적 해커인 침투 테스터 양성에 기여하는 게 바로 이 책의 목적이다. 이를 위해 이 책에서는 해킹 툴뿐만 아니라 보고서 작성과 발표 등 전문 침투 테스터에게 반드시 필요한 내용도 충실히 다룬다.


『해킹 초보를 위한 웹 공격과 방어』 소개

보안 실무자와 모의 해킹 전문가가 바로 활용할 수 있는 최신 기술이 담긴 책!
웹 보안의 개념과 실전 예제가 모두 담긴 책!


『해킹 초보를 위한 웹 공격과 방어』는 기존의 웹 보안 관련 서적이 놓치고 있는, 하지만 많은 독자가 궁금해 하는 내용에 답을 주는 책이다. 개념만 나와있어 실전에 응용하기 어려운 책이나 공격 기법은 자세히 다루면서 방어법은 지나치게 간단히 다루는 책에 아쉬움을 느꼈다면, 이 책을 읽음으로써 갈증을 말끔히 해소할 수 있다. 적은 분량임에도 불구하고 매우 실질적인 공격 예제와 최선의 방어법을 모두 담고 있는 책이 바로 『해킹 초보를 위한 웹 공격과 방어』이다.

저자/역자 소개

샤킬 알리 (Shakeel Ali)
영국 사이퍼 스톰(Cipher Storm Ltd, UK)의 주요 설립자이자 CTO다. 보안 업계 경력이 매우 풍부하며 매일 같이 보안 평가, 감사, 컴플라이언스, 거버넌스, 포렌식 프로젝트를 수행한다. 또 CSS-프로바이더 S.A.L의 최고 보안 책임자(CSO, Chief Security Officer)도 맡고 있다. 경험 많은 보안 연구가로서 밤을 새가며 전세계의 다양한 기업, 교육 기관, 정부 기관 등에 보안 지원 업무를 제공하고 있다. 활동이 왕성한 독립적 보안 연구가로서 다양한 글과 백서를 작성하며 Ethical-Hacker.net에서 블로그를 운영하고 있다. 또 멕시코에서 열리는 버그콘(BugCon) 보안 학회에 정기적으로 참가하면서 최신 사이버 보안 위협과 실질적인 대응 솔루션을 알리는 데 앞장선다.

테디 헤리얀토 (Tedi Heriyanto)
현재 인도네이사 정보 기술 회사의 수석 기술 컨설턴트다. 인도네시아 등 다양한 국가의 유명한 기관에서 일하면서 보안 네트워크 아키텍처 설계, 전사적 보안 시스템 배치 및 관리, 정보 보안 정책과 절차 개발, 정보 보안 감사와 평가, 정보 보안 의식 교육 등을 수행했다. 여유 시간에는 연구를 수행하면서 다양한 글을 쓴다. 또 인도네시아 보안 커뮤니티(Indonesian Security Community) 활동에도 참가하고, 블로그 사이트 http://theriyanto.wordpress.com도 운영한다. 정보 보안이나 컴퓨터 프로그래밍 서적을 집필하면서 정보 보안 분야의 지식을 공유하고 있다.

마이크 셰마 (Mike Shema)
취약점 관리 회사인 퀄리스(Qualys)에서 웹 애플리케이션 스캐닝 서비스 부문을 담당하는 리드 개발자다. 웹 애플리케이션 스캐닝 서비스란, 다양한 웹 취약점을 자동으로 정확하게 진단해주는 서비스를 말한다. 퀄리스 이전에는 파운드스톤(Foundstone)에서 보안 컨설팅 업무를 담당하며 정보 보안 분야의 다양한 경험을 축적했다. 마이크는 무선 보안 등의 네트워크 보안과 웹 애플리케이션 모의 해킹 분야의 교육 프로그램을 만들고 직접 가르쳐왔다. 이렇게 다양한 경험을 바탕으로 북미, 유럽, 아시아 등지에서 열리는 블랙햇(BlackHat), 인포섹(InfoSec), RSA 등의 학회에서 다양한 주제의 연구 결과를 발표했다.
마이크는 『안티 해커 툴킷(Anti-Hacker Toolkit)』, 『해킹 익스포즈드: 웹 애플리케이션(Hacking Exposed: Web Applications) 2판』을 공동 집필하기도 했다. 현재 샌프란시스코에 거주하며, 이 자리를 빌려 자신의 촌스럽고 서툰 플레이를 참아준 동료 RPG 게이머들에게 감사의 마음을 표했다.


[ 옮긴이 소개 ]

민병호
서울대학교 컴퓨터공학과에서 학사와 석사를 마쳤으며, 보안 연구가를 꿈꾸며 계속 정진 중이다. 옮긴 책으로 에이콘출판사에서 펴낸 『TCP/IP 완벽 가이드』(2007), 『새로 보는 프로그래밍 언어』(2008), 『리눅스 방화벽』(2008), 『크라임웨어』(2009)가 있다.

목차

목차
  • 『BackTrack 4 한국어판』
  • 1부 랩 준비와 테스팅 절차
  • 1장 백트랙 시작하기
    • 역사
    • 백트랙의 용도
    • 백트랙 다운로드
    • 백트랙 이용하기
      • 라이브 DVD
      • 하드 디스크에 설치하기
      • 포터블 백트랙
    • 네트워크 연결 설정하기
      • 이더넷 설정하기
      • 무선 네트워크 설정하기
      • 네트워크 서비스 시작하기
    • 백트랙 업데이트하기
      • 소프트웨어 애플리케이션 업데이트하기
      • 커널 업데이트하기
    • 추가적인 소프트웨어 무기 탑재하기
      • 네서스 취약점 스캐너
      • 웹시큐리파이
    • 백트랙 커스터마이징하기
    • 정리
  • 2장 침투 테스트 방법론
    • 침투 테스트의 종류
      • 블랙박스 테스트
      • 화이트박스 테스트
    • 취약점 평가와 침투 테스트
    • 보안 테스트 방법론
      • 오픈 소스 보안 테스트 방법론 매뉴얼
      • 정보 시스템 보안 평가 프레임워크
      • 오픈 웹 애플리케이션 보안 프로젝트 상위
      • 웹 애플리케이션 보안 컨소시엄 위협 분류
    • 백트랙 테스트 방법론
      • 타겟 스코핑
      • 정보 수집
      • 타겟 발견
      • 타겟 탐색
      • 취약점 매핑
      • 사회 공학(소셜 엔지니어링)
      • 타겟 익스플로잇
      • 권한 상승
      • 장악 유지
      • 문서화 및 보고
    • 윤리적 측면
    • 정리
  • 2부 침투 테스터 무기창고
  • 3장 타겟 스코핑
    • 클라이언트 요구사항 수집
      • 고객 요구사항 양식
      • 산출물 평가 양식
    • 테스트 계획 수립
      • 테스트 계획 체크리스트
    • 테스트 한도 설정
    • 비즈니스 목적 정의
    • 프로젝트 관리와 일정
    • 정리
  • 4장 정보 수집
    • 공개 리소스
    • 문서 수집
      • 메타구필
    • DNS 정보
      • dnswalk
      • dnsenum
      • dnsmap
      • dnsrecon
      • 피어스
    • 경로 정보
      • 0trace
      • 드미트리
      • itrace
      • tcptraceroute
      • tctrace
    • 검색 엔진 활용하기
      • goorecon
      • 더하베스터
    • 일체형 정보 수집
      • 말테고
    • 정보 문서화
      • 드래디스
    • 정리
  • 5장 타겟 발견
    • 소개
    • 타겟 머신 식별
      • arping
      • arping2
      • fping
      • 젠리스트
      • hping2
      • hping3
      • 랜맵
      • nbtscan
      • 엔핑
      • 원식스티원
    • OS 핑거프린팅
      • p0f
      • xprobe2
    • 정리
  • 6장 타겟 탐색
    • 포트 스캐닝
      • 오토스캔
      • 네티페라
      • 엔맵
      • 유니콘스캔
      • 젠맵
    • 서비스 탐색
      • Amap
      • Httprint
      • Httsquash
    • VPN 탐색
      • ike-scan
    • 정리
  • 7장 취약점 매핑
    • 취약점 유형
      • 로컬 취약점
      • 원격 취약점
    • 취약점 분류법
    • 오픈VAS
      • 오픈VAS 통합 보안 툴
    • 시스코 분석
      • 시스코 감사 툴
      • 시스코 글로벌 익스플로이터
      • 시스코 암호 스캐너
    • 퍼지 분석
      • BED
      • 버니
      • JBroFuzz
    • SMB 분석
      • 임패킷 Samrdump
      • Smb4k
    • SNMP 분석
      • ADMSnmp
      • Snmp 이넘
      • SNMP 워크
    • 웹 애플리케이션 분석
      • 데이터베이스 평가 툴
      • 애플리케이션 평가 툴
    • 정리
  • 8장 사회 공학
    • 인간 심리학 모델링
    • 공격 과정
    • 공격 방법
      • 가장
      • 상호교환
      • 권력자 행세
      • 희소성
      • 사회적 관계
    • 사회 공학 툴킷
      • 타겟티드 피싱 공격
      • 사용자 계정 정보 수집
    • CUPP
    • 정리
  • 9장 타겟 익스플로잇
    • 취약점 연구
    • 취약점과 익스플로잇 저장소
    • 고급 익스플로잇 툴킷
      • MSFConsole
      • MSFCLI
      • 닌자 기본 훈련
      • 익스플로잇 모듈 작성
    • 정리
  • 10장 권한 상승
    • 암호 공격
      • 오프라인 공격 툴
      • 온라인 공격 툴
    • 네트워크 스니퍼
      • Dsniff
      • 햄스터
      • Tcpdump
      • Tcpick
      • 와이어샤크
    • 네트워크 스푸핑 툴
      • Arpspoof
      • 이터캡
    • 정리
  • 11장 장악 유지
    • 프로토콜 터널링
      • DNS2tcp
      • Ptunnel
      • Stunnel4
    • 프록시
      • 3proxy
      • 프록시체인
    • 단대단 연결
      • 크립트캣
      • Sbd
      • 소캣
    • 정리
  • 12장 문서화와 보고
    • 문서화와 결과 검증
    • 보고서 유형
      • 운영진 보고서
      • 관리 보고서
      • 기술 보고서
      • 네트워크 침투 테스트 보고서
    • 발표
    • 테스트 후절차
    • 정리
  • 3부 추가적인 무기
  • 부록 A 기타 유용한 툴
    • 취약점 스캐너
      • 넥스포즈 커뮤니티 에디션
    • 웹 애플리케이션 핑거프린팅 툴
      • 왓웹
      • 블라인드엘리펀트
    • 만능 네트워크 툴
      • 넷캣
    • 정리
  • 부록 B 주요 리소스
    • 최신 취약점 정보 수집
      • 유료 회원 우대 프로그램
    • 리버스 엔지니어링 리소스
    • 네트워크 포트

  • 『해킹 초보를 위한 웹 공격과 방어』
  • 1장 크로스사이트 스크립팅
    • HTML 인젝션의 이해
      • 인젝션 가능 지점 찾기
      • XSS 공격 유형
      • 안전한 문자셋 처리
      • 오동작을 이용한 필터 우회
      • 금지 문자는 사용하지 않는 XSS 공격
      • 브라우저의 특징 고려
      • 기타 고려 사항
    • 방어법
      • 문자셋 명시
      • 문자셋과 인코딩의 정규화
      • 출력 인코딩
      • 제외 목록과 정규식 사용 시 주의점
      • 코드 재사용(다시 구현하지 말자)
      • 자바스크립트 샌드박스
    • 정리
  • 2장 크로스사이트 요청 위조
    • 크로스사이트 요청 위조의 이해
      • 강제 브라우징을 이용한 요청 위조
      • 이미 인증된 사용자 공격
      • CSRF와 XSS의 위험한 만남
      • POST를 이용한 공격
      • 다양한 방식으로 접근 가능한 웹
      • CSRF의 변형: 클릭재킹
    • 방어법
      • 웹 애플리케이션 방어
      • 웹 브라우저 방어
    • 정리
  • 3장 SQL 인젝션
    • SQL 인젝션의 이해
      • 질의문 깨부수기
      • 데이터베이스 정보 추출
      • 기타 공격 벡터
    • 방어법
      • 입력 검증
      • 질의문 보호
      • 정보 보호
      • 데이터베이스 최신 패치 유지
    • 정리
  • 4장 잘못된 서버 설정과 예측 가능한 웹페이지
    • 잘못된 서버 설정과 예측 가능한 웹페이지로 인한 공격의 이해
      • 안전하지 않은 디자인 패턴 식별
      • 운영체제 공격
      • 서버 공격
    • 방어법
      • 파일 접근 제한
      • 객체 참조 사용
      • 취약한 함수의 차단
      • 권한 확인 의무화
      • 네트워크 연결 제한
    • 정리
  • 5장 인증 방식 우회
    • 인증 공격의 이해
      • 세션 토큰 재활용
      • 브루트포스
      • 스니핑
      • 암호 초기화
      • 크로스사이트 스크립팅
      • SQL 인젝션
      • 사용자 속이기
    • 방어법
      • 세션 쿠키 보호
      • 사용자 개입
      • 사용자 귀찮게 하기
      • 요청 처리율 제한
      • 기록과 다중 분석
      • 추가적인 인증 기법의 사용
      • 피싱 방어
      • 암호 보호
    • 정리
  • 6장 로직 공격
    • 로직 공격의 이해
      • 작업 흐름의 오용
      • 정책과 실무의 허점 공격
      • 귀납법
      • 서비스 거부
      • 취약한 디자인 패턴
      • 정보 선별
    • 방어법
      • 요구 사항 문서화
      • 광범위한 테스트 케이스 생성
      • 정책 반영
      • 방어적 프로그래밍
      • 클라이언트 검증
    • 정리
  • 7장 신뢰할 수 없는 웹
    • 멀웨어와 브라우저 공격의 이해
      • 멀웨어
      • 브라우저 플러그인의 다면성
      • 도메인 네임 시스템과 출처
    • 방어법
      • 안전한 웹 서핑
      • 브라우저 고립
      • DNS 보안 확장

도서 오류 신고

도서 오류 신고

에이콘출판사에 관심을 가져 주셔서 고맙습니다. 도서의 오탈자 정보를 알려주시면 다음 개정판 인쇄 시 반영하겠습니다.

오탈자 정보는 다음과 같이 입력해 주시면 됩니다.

(예시) p.100 아래에서 3행 : '몇일'동안 -> 며칠동안