책 소개
보안 실무자와 모의 해킹 전문가가 바로 활용할 수 있는 최신 기술이 담긴 책!
웹 보안의 개념과 실전 예제가 모두 담긴 책!
『해킹 초보를 위한 웹 공격과 방어』는 기존의 웹 보안 관련 서적이 놓치고 있는, 하지만 많은 독자가 궁금해 하는 내용에 답을 주는 책이다. 개념만 나와있어 실전에 응용하기 어려운 책이나 공격 기법은 자세히 다루면서 방어법은 지나치게 간단히 다루는 책에 아쉬움을 느꼈다면, 이 책을 읽음으로써 갈증을 말끔히 해소할 수 있다. 적은 분량임에도 불구하고 매우 실질적인 공격 예제와 최선의 방어법을 모두 담고 있는 책이 바로 『해킹 초보를 위한 웹 공격과 방어』이다.
[ 소개 ]
취약점을 정확히 찾아내 철저히 방어하자!
일반 사용자나 웹 개발자, 관리자가 모두 알아야 하는 보안 위협을 다루는 이 책은 인터넷을 사용하는 모든 이의 필독서다. 저자 마이크 셰마는 보안 위협을 자세히 다룰 뿐만 아니라 위협 자체를 철저히 막거나 피해를 최소화할 수 있는 방어법을 함께 제시한다. 이 책을 읽고 나면 세상의 웹사이트를 보는 시각 자체가 바뀔 것임에 틀림없다.
- 앤드류 웨이트 보안 연구가, 인포새니티 리서치
웹 애플리케이션과 관련된 최신 공격 기법을 놓치고 싶지 않다면 반드시 이 책을 읽어야 한다. 이 책에서는 가장 위험한 웹 애플리케이션 공격 기법을 철저히 분석함과 동시에 안전한 웹사이트를 구축할 수 있는 방어법도 다룬다. 책에 나온 설명을 따르다 보면 악의적인 공격을 막을 수 있는 최고의 방법을 배우고, 여러분의 컴퓨터와 네트워크를 공격자로부터 안전하게 지키는 데 필요한 기술을 익힐 수 있다.
이 책에서 다루는 공격 기법 7가지
1. 크로스사이트 스크립팅(XSS)
2. 크로스사이트 요청 위조(CSRF)
3. SQL 인젝션
4. 잘못된 서버 설정과 예측 가능한 웹페이지
5. 인증 방식 우회
6. 로직 공격
7. 멀웨어와 브라우저 공격
“해킹 초보를 위한”이라는 제목을 달고 연이어 출간될 이 시리즈에서는 이 분야에서 가장 영향력이 큰 공격 기법을 주로 다룬다. 시리즈를 모두 읽고 방어법을 익히자!
[ 이 책의 대상 독자 ]
메일이나 쇼핑, 업무 등 어떤 목적으로든 인터넷을 사용하는 사람이라 꼭 읽어야 할 책이다. 웹사이트의 보안은 대부분 개발자가 책임지지만 웹 애플리케이션을 이용하는 사용자 역시 보안 웹 서핑(브라우징) 수칙을 지킴으로써 자신의 데이터를 보호할 수 있다. 이런 맥락에서 매일 방문하는 사이트의 개인정보가 어떻게 해킹당할 수 있으며, 그 사이트에 어떤 악성 코드가 감염될 수 있는지 알아두는 편이 좋다.
웹 애플리케이션 개발자나 보안 전문가는 이 책에서 다루는 웹 공격의 원리와 기술적인 부분에 집중하면 좋다. 안전한 웹사이트를 만드는 첫 단계가 바로 취약한 코드의 위협과 위험을 이해하는 것이기 때문이다. 더욱이 이 책에서는 특정 프로그래밍 언어나 기술에 관계없이 웹사이트에 적용할 수 있는 방어법도 소개한다.
관리자 위치에 있는 독자라면 웹사이트의 위협 요소와 웹 브라우저만으로도 수행 가능한 간단한 공격이 유발할 수 있는 막대한 피해를 이해해둬야 한다. 이 책을 읽으면 간단한 공격이라도 이를 막기 위한 적절한 방어법을 구현하는 데에는 많은 노력과 시간이 든다는 사실을 알게 될 것이다. 그리고 이러한 이해를 통해 웹사이트의 정보를 보호하기 위한 보안에 인적, 물적 자원을 아낌없이 지원하게 될 것이다.
웹에 대한 간단한 상식 정도만 있다면 이 책을 읽는 데 어려움은 없다. 웹사이트 공격자는 페이로드를 삽입하거나 프로토콜의 허점을 이용하기 위해 HTTP 트래픽을 변조하기도 하고, HTML 페이지의 입력 폼을 조작하거나 악성 코드를 삽입하기도 한다. 물론 이 말을 구체적으로 이해하지 못했다고 해서 해킹으로 인한 피해나 해킹 기법을 배우는 데 문제가 되지는 않는다. 예를 들어 HTTP 프로토콜에서 기본적으로 평문 트래픽에는 80번 포트를, SSL로 암호화된 트래픽에는 443번 포트를 이용하며, SSL 연결은 https://로 나타낸다는 사실 정도만 알면 된다. 이 이상의 내용은 공격과 방어 기법을 좀 더 자세히 이해하려는 개발자나 보안 전문가가 알아야 할 사항이다.
[ 이 책의 구성 ]
이 책은 총 7개 장으로 웹사이트와 브라우저에 대한 주요 공격 유형을 다룬다. 각 장에서는 우선 실제 사이트의 해킹 사례를 소개한 후 공격자가 이용한 취약점을 자세히 알아본다. 각 장을 순서대로 읽을 필요는 없다. 대다수의 공격 기법은 서로 연관돼 있으며, 방어법을 무력화하기 위해 함께 사용되기 때문에 웹 보안의 다양한 측면을 이해하는 게 중요하다. 특히 웹 보안에서는 웹사이트뿐만 아니라 웹 브라우저도 중요하다는 사실을 반드시 알아야 한다.
웹 보안의 개념과 실전 예제가 모두 담긴 책!
『해킹 초보를 위한 웹 공격과 방어』는 기존의 웹 보안 관련 서적이 놓치고 있는, 하지만 많은 독자가 궁금해 하는 내용에 답을 주는 책이다. 개념만 나와있어 실전에 응용하기 어려운 책이나 공격 기법은 자세히 다루면서 방어법은 지나치게 간단히 다루는 책에 아쉬움을 느꼈다면, 이 책을 읽음으로써 갈증을 말끔히 해소할 수 있다. 적은 분량임에도 불구하고 매우 실질적인 공격 예제와 최선의 방어법을 모두 담고 있는 책이 바로 『해킹 초보를 위한 웹 공격과 방어』이다.
[ 소개 ]
취약점을 정확히 찾아내 철저히 방어하자!
일반 사용자나 웹 개발자, 관리자가 모두 알아야 하는 보안 위협을 다루는 이 책은 인터넷을 사용하는 모든 이의 필독서다. 저자 마이크 셰마는 보안 위협을 자세히 다룰 뿐만 아니라 위협 자체를 철저히 막거나 피해를 최소화할 수 있는 방어법을 함께 제시한다. 이 책을 읽고 나면 세상의 웹사이트를 보는 시각 자체가 바뀔 것임에 틀림없다.
- 앤드류 웨이트 보안 연구가, 인포새니티 리서치
웹 애플리케이션과 관련된 최신 공격 기법을 놓치고 싶지 않다면 반드시 이 책을 읽어야 한다. 이 책에서는 가장 위험한 웹 애플리케이션 공격 기법을 철저히 분석함과 동시에 안전한 웹사이트를 구축할 수 있는 방어법도 다룬다. 책에 나온 설명을 따르다 보면 악의적인 공격을 막을 수 있는 최고의 방법을 배우고, 여러분의 컴퓨터와 네트워크를 공격자로부터 안전하게 지키는 데 필요한 기술을 익힐 수 있다.
이 책에서 다루는 공격 기법 7가지
1. 크로스사이트 스크립팅(XSS)
2. 크로스사이트 요청 위조(CSRF)
3. SQL 인젝션
4. 잘못된 서버 설정과 예측 가능한 웹페이지
5. 인증 방식 우회
6. 로직 공격
7. 멀웨어와 브라우저 공격
“해킹 초보를 위한”이라는 제목을 달고 연이어 출간될 이 시리즈에서는 이 분야에서 가장 영향력이 큰 공격 기법을 주로 다룬다. 시리즈를 모두 읽고 방어법을 익히자!
[ 이 책의 대상 독자 ]
메일이나 쇼핑, 업무 등 어떤 목적으로든 인터넷을 사용하는 사람이라 꼭 읽어야 할 책이다. 웹사이트의 보안은 대부분 개발자가 책임지지만 웹 애플리케이션을 이용하는 사용자 역시 보안 웹 서핑(브라우징) 수칙을 지킴으로써 자신의 데이터를 보호할 수 있다. 이런 맥락에서 매일 방문하는 사이트의 개인정보가 어떻게 해킹당할 수 있으며, 그 사이트에 어떤 악성 코드가 감염될 수 있는지 알아두는 편이 좋다.
웹 애플리케이션 개발자나 보안 전문가는 이 책에서 다루는 웹 공격의 원리와 기술적인 부분에 집중하면 좋다. 안전한 웹사이트를 만드는 첫 단계가 바로 취약한 코드의 위협과 위험을 이해하는 것이기 때문이다. 더욱이 이 책에서는 특정 프로그래밍 언어나 기술에 관계없이 웹사이트에 적용할 수 있는 방어법도 소개한다.
관리자 위치에 있는 독자라면 웹사이트의 위협 요소와 웹 브라우저만으로도 수행 가능한 간단한 공격이 유발할 수 있는 막대한 피해를 이해해둬야 한다. 이 책을 읽으면 간단한 공격이라도 이를 막기 위한 적절한 방어법을 구현하는 데에는 많은 노력과 시간이 든다는 사실을 알게 될 것이다. 그리고 이러한 이해를 통해 웹사이트의 정보를 보호하기 위한 보안에 인적, 물적 자원을 아낌없이 지원하게 될 것이다.
웹에 대한 간단한 상식 정도만 있다면 이 책을 읽는 데 어려움은 없다. 웹사이트 공격자는 페이로드를 삽입하거나 프로토콜의 허점을 이용하기 위해 HTTP 트래픽을 변조하기도 하고, HTML 페이지의 입력 폼을 조작하거나 악성 코드를 삽입하기도 한다. 물론 이 말을 구체적으로 이해하지 못했다고 해서 해킹으로 인한 피해나 해킹 기법을 배우는 데 문제가 되지는 않는다. 예를 들어 HTTP 프로토콜에서 기본적으로 평문 트래픽에는 80번 포트를, SSL로 암호화된 트래픽에는 443번 포트를 이용하며, SSL 연결은 https://로 나타낸다는 사실 정도만 알면 된다. 이 이상의 내용은 공격과 방어 기법을 좀 더 자세히 이해하려는 개발자나 보안 전문가가 알아야 할 사항이다.
[ 이 책의 구성 ]
이 책은 총 7개 장으로 웹사이트와 브라우저에 대한 주요 공격 유형을 다룬다. 각 장에서는 우선 실제 사이트의 해킹 사례를 소개한 후 공격자가 이용한 취약점을 자세히 알아본다. 각 장을 순서대로 읽을 필요는 없다. 대다수의 공격 기법은 서로 연관돼 있으며, 방어법을 무력화하기 위해 함께 사용되기 때문에 웹 보안의 다양한 측면을 이해하는 게 중요하다. 특히 웹 보안에서는 웹사이트뿐만 아니라 웹 브라우저도 중요하다는 사실을 반드시 알아야 한다.
목차
목차
- 1장 크로스사이트 스크립팅
- HTML 인젝션의 이해
- 인젝션 가능 지점 찾기
- XSS 공격 유형
- 안전한 문자셋 처리
- 오동작을 이용한 필터 우회
- 금지 문자는 사용하지 않는 XSS 공격
- 브라우저의 특징 고려
- 기타 고려 사항
- 방어법
- 문자셋 명시
- 문자셋과 인코딩의 정규화
- 출력 인코딩
- 제외 목록과 정규식 사용 시 주의점
- 코드 재사용(다시 구현하지 말자)
- 자바스크립트 샌드박스
- 정리
- HTML 인젝션의 이해
- 2장 크로스사이트 요청 위조
- 크로스사이트 요청 위조의 이해
- 강제 브라우징을 이용한 요청 위조
- 이미 인증된 사용자 공격
- CSRF와 XSS의 위험한 만남
- POST를 이용한 공격
- 다양한 방식으로 접근 가능한 웹
- CSRF의 변형: 클릭재킹
- 방어법
- 웹 애플리케이션 방어
- 웹 브라우저 방어
- 정리
- 크로스사이트 요청 위조의 이해
- 3장 SQL 인젝션
- SQL 인젝션의 이해
- 질의문 깨부수기
- 데이터베이스 정보 추출
- 기타 공격 벡터
- 방어법
- 입력 검증
- 질의문 보호
- 정보 보호
- 데이터베이스 최신 패치 유지
- 정리
- SQL 인젝션의 이해
- 4장 잘못된 서버 설정과 예측 가능한 웹페이지
- 잘못된 서버 설정과 예측 가능한 웹페이지로 인한 공격의 이해
- 안전하지 않은 디자인 패턴 식별
- 운영체제 공격
- 서버 공격
- 방어법
- 파일 접근 제한
- 객체 참조 사용
- 취약한 함수의 차단
- 권한 확인 의무화
- 네트워크 연결 제한
- 정리
- 잘못된 서버 설정과 예측 가능한 웹페이지로 인한 공격의 이해
- 5장 인증 방식 우회
- 인증 공격의 이해
- 세션 토큰 재활용
- 브루트포스
- 스니핑
- 암호 초기화
- 크로스사이트 스크립팅
- SQL 인젝션
- 사용자 속이기
- 방어법
- 세션 쿠키 보호
- 사용자 개입
- 사용자 귀찮게 하기
- 요청 처리율 제한
- 기록과 다중 분석
- 추가적인 인증 기법의 사용
- 피싱 방어
- 암호 보호
- 정리
- 인증 공격의 이해
- 6장 로직 공격
- 로직 공격의 이해
- 작업 흐름의 오용
- 정책과 실무의 허점 공격
- 귀납법
- 서비스 거부
- 취약한 디자인 패턴
- 정보 선별
- 방어법
- 요구 사항 문서화
- 광범위한 테스트 케이스 생성
- 정책 반영
- 방어적 프로그래밍
- 클라이언트 검증
- 정리
- 로직 공격의 이해
- 7장 신뢰할 수 없는 웹
- 멀웨어와 브라우저 공격의 이해
- 멀웨어
- 브라우저 플러그인의 다면성
- 도메인 네임 시스템과 출처
- 방어법
- 안전한 웹 서핑
- 브라우저 고립
- DNS 보안 확장
- 멀웨어와 브라우저 공격의 이해