HOME > Detail View

Detail View

(브라우저) 해킹 vs 보안 : 브라우저의 모든 취약점을 파헤치다 (Loan 11 times)

Material type
단행본
Personal Author
Alcorn, Wade Frichot, Christian, 저 Orru, Michele, 저 류광, 역
Title Statement
(브라우저) 해킹 vs 보안 : 브라우저의 모든 취약점을 파헤치다 / 웨이드 알콘, 크리스티앙 프리쇼, 미켈레 오루 지음 ; 류광 옮김
Publication, Distribution, etc
파주 :   제이펍,   2014  
Physical Medium
xxvi, 721 p. : 삽화 ; 25 cm
Varied Title
(The) browser hacker's handbook
ISBN
9791185890050
Bibliography, Etc. Note
참고문헌과 색인수록
Subject Added Entry-Topical Term
Computer networks -- Security measures -- Handbooks, manuals, etc. Browsers (Computer programs) -- Handbooks, manuals, etc. Computer security -- Handbooks, manuals, etc. Penetration testing (Computer security) -- Handbooks, manuals, etc.
000 01316camcc2200373 c 4500
001 000045818715
005 20141219105344
007 ta
008 141218s2014 ggka b 001c kor
020 ▼a 9791185890050 ▼g 93000
035 ▼a (KERIS)BIB000013604448
040 ▼a 222001 ▼c 222001 ▼d 211009
041 1 ▼a kor ▼h eng
082 0 4 ▼a 005.8 ▼2 23
085 ▼a 005.8 ▼2 DDCK
090 ▼a 005.8 ▼b 2014z11
100 1 ▼a Alcorn, Wade
245 2 0 ▼a (브라우저) 해킹 vs 보안 : ▼b 브라우저의 모든 취약점을 파헤치다 / ▼d 웨이드 알콘, ▼e 크리스티앙 프리쇼, ▼e 미켈레 오루 지음 ; ▼e 류광 옮김
246 1 9 ▼a (The) browser hacker's handbook
260 ▼a 파주 : ▼b 제이펍, ▼c 2014
300 ▼a xxvi, 721 p. : ▼b 삽화 ; ▼c 25 cm
504 ▼a 참고문헌과 색인수록
650 0 ▼a Computer networks ▼x Security measures ▼v Handbooks, manuals, etc.
650 0 ▼a Browsers (Computer programs) ▼v Handbooks, manuals, etc.
650 0 ▼a Computer security ▼v Handbooks, manuals, etc.
650 0 ▼a Penetration testing (Computer security) ▼v Handbooks, manuals, etc.
700 1 ▼a Frichot, Christian, ▼e
700 1 ▼a Orru, Michele, ▼e
700 1 ▼a 류광, ▼e
900 1 0 ▼a 알콘, 웨이드, ▼e
900 1 0 ▼a 프리쇼, 크리스티앙, ▼e
900 1 0 ▼a 오루, 미켈레, ▼e
945 ▼a KLPA

Holdings Information

No. Location Call Number Accession No. Availability Due Date Make a Reservation Service
No. 1 Location Science & Engineering Library/Sci-Info(Stacks1)/ Call Number 005.8 2014z11 Accession No. 121231646 Availability Available Due Date Make a Reservation Service B M

Contents information

Book Introduction

브라우저 해커들로 구성된 전문가 집단이 저술한 이 책은 브라우저의 취약점을 들춰내고, 독자의 네트워크와 핵심 시스템을 잠재적인 공격으로부터 방어하기 위해 해커들의 은밀한 기술을 폭로한다. Firefox, Internet Explorer, Chrome을 비롯한 여러 브라우저의 가장 흔한 취약점들을 악용하는 방법, 보안 평가 작업에서 브라우저를 대상 네트워크로 침투하기 위한 구심점으로 사용하는 방법 등을 다룬다.


브라우저 보안 문제가 유래 없이 심각한 지금, 여러분의 브라우저는 안전한가요?
브라우저를 공격하는 모든 것에 관한 폭로!


오늘날 웹 브라우저는 사실상 하나의 운영체제가 되었으며, 그러다 보니 브라우저의 취약점들도 IT 보안 업계가 전에 겪지 못했던 규모로 발견되고 있다. 브라우저 해커들로 구성된 전문가 집단이 저술한 이 책은 브라우저의 취약점을 들춰내고, 독자의 네트워크와 핵심 시스템을 잠재적인 공격으로부터 방어하기 위해 해커들의 은밀한 기술을 폭로하는 보기 드문 책이다.

이 상세한 지침서는 해커들이 브라우저의 약점을 악용해서 브라우저를 네트워크 내부 공격의 거점으로 삼는 방법을 보여준다. 부디 해커들과의 전쟁에서 이 책이 훌륭한 무기가 되었으면 한다.

이 책의 주요 내용
● Firefox, Internet Explorer, Chrome을 비롯한 여러 브라우저의 가장 흔한 취약점들을 악용하는 방법
● 보안 평가 작업에서 브라우저를 대상 네트워크로 침투하기 위한 구심점으로 사용하는 방법
● 사용자의 민감한 정보에 직접 접근할 수 있도록 대상 브라우저를 장악하고 통제권을 유지하는 방법
● 브라우저에서 가장 취약한 두 진입점인 브라우저 플러그인과 확장 기능의 약점을 악용하는 방법
● 프로토콜 간 통신 및 악용 기법을 이용해서 후킹된 브라우저로부터 내부 네트워크 시스템을 좀 더 깊고 넓게 오염시키는 방법


Information Provided By: : Aladin

Author Introduction

웨이드 알콘(지은이)

오픈소스 브라우저 악용 프레임워크인 BeEF의 작성자다. NCC 그룹 아시아 태평양 지부의 총괄관리자로서 은행, 유통업체, 기타 기업 등을 위한 보안 평가 작업을 이끌었다. 주로 IT 보안의 허점을 개선하는 데 전념하며, 공개 그룹에 글을 기고하거나 국제회의에서 강연하길 즐긴다. 또한, 그는 신종 위협들에 관한 선구적인 기술 논문들을 발표했으며, 널리 쓰이는 소프트웨어의 취약점들을 발견하기도 했다.

크리스티앙 프리쇼(지은이)

IT 업계의 여러 분야에서 일했는데, 주로 재무 및 인사 관리를 다루었다. 그러다 호주 퍼스(Perth)에서 Asterisk Information Security사를 세웠다. 그는 소프트웨어 개발에도 적극적으로 참여하였는데, 핵심 분야는 자료 시각화와 분석이다. BeEF 개발자이기도 한 그는 브라우저 및 관련 기술을 침투 검사(penetration test)에서 활용하는 방법을 연구하는 데에도 많은 노력을 기울이고 있다.

미켈레 오루(지은이)

BeEF의 선임 핵심 개발자이자 '똑똑한 인재 모집자’이기도 하다. 여러 프로그래밍 언어와 프로그래밍 패러다임을 깊숙이 알고 있으며, 그러한 지식을 다른 사람이 작성한 코드를 읽거나 해킹하는 데 적용하면서 즐거움을 느낀다.

류광(옮긴이)

25년 이상의 번역 경력을 가진 전문 번역가로, 커누스 교수의 『컴퓨터 프로그래밍의 예술』 시리즈와 스티븐스의 『UNIX 고급 프로그래밍』 제2판 및 제3판을 포함하여 60여 권의 다양한 IT 전문서를 번역했다. 번역과 프로그래밍 외에 소프트웨어 문서화에도 많은 관심이 있으며, 수많은 오픈소스 프로젝트의 표준 문서 형식으로 쓰이는 DocBook의 국내 사용자 모임인 닥북 한국(docbook.kr)의 일원이다. 홈페이지 occam's Razor(occamsrazr.net)와 게임 개발 사이트 GpgStudy(www.gpgstudy.com)를 운영한다.

Information Provided By: : Aladin

Table of Contents

제1장 웹 브라우저 보안 1
기본 원리 하나 2
브라우저 탐험 4
웹 응용 프로그램과의 공생 4 
 SOP(동일 기원 정책) 5 
 HTTP 헤더 6 
마크업 언어 6
 CSS 7 
스크립팅 7 
 DOM 8 
렌더링 엔진 8 
지리 위치 API 10 
웹 저장소 11
 CORS(교차 기원 자원 공유) 11 
 HTML5 12 
취약성 14
진화 압력 15
 HTTP 헤더 15 
반사된 XSS 필터링 18 
모래상자 적용 18 
피싱 방지와 악성 프로그램 방지 20
혼합 내용 20
핵심 보안 문제 20
공격면 21 
통제권 이양 24 
 TCP 프로토콜 제어 25 
암호화된 통신 25
동일 기원 정책 25 
오해 26
브라우저 해킹 방법론 27
요약 34
질문 34
참고 35

제2장 통제 착수 37
통제 착수의 이해 38
통제 착수 기법들 38
 XSS 공격을 이용한 통제 착수 39 
오염된 웹 응용 프로그램을 이용한 통제 착수 54
광고 네트워크를 이용한 통제 착수 54 
사회공학 공격을 이용한 통제 착수 55
중간자 공격을 이용한 통제 착수 69
요약 84
질문 84
참고 85

제3장 통제 유지 89
통제 유지의 이해 90
여러 가지 통신 채널 확보 기법 91
 XMLHttpRequest 폴링을 이용한 통신 채널 확보 92 
 CORS를 이용한 통신 채널 확보 96
 WebSocket을 이용한 통신 채널 확보 97 
메시지 통신을 이용한 통신 채널 확보 100
 DNS 터널 통신을 이용한 통신 채널 확보 103
여러 가지 지속성 확보 기법 111
 IFrame을 이용한 지속성 확보 111 
브라우저 사건을 이용한 지속성 확보 114
팝언더 창을 이용한 지속성 확보 117 
브라우저 내부자 공격을 이용한 지속성 확보 120
검출 피하기 127
부호화를 이용한 검출 피하기 128 
난독화를 이용한 검출 피하기 134
요약 145
질문 146
참고 147

제4장 동일 기원 정책의 우회 151
동일 기원 정책의 이해 152
 DOM에 대한 SOP 153 
교차 기원 자원 공유(CORS)에 대한 SOP 154
플러그인에 대한 SOP 155 
 UI 재치장에 관련된 SOP 156 
브라우저 이력에 관련된 SOP 156
SOP 우회 방법 157
 Java의 SOP 우회 157 
 Adobe Reader의 SOP 우회 164 
 Adobe Flash의 SOP 우회 166
 Silverlight의 SOP 우회 166 
 Internet Explorer의 SOP 우회 167 
 Safari의 SOP 우회 167
 Firefox의 SOP 우회 169 
 Opera의 SOP 우회 171 
클라우드 저장소의 SOP 우회 175
 CORS의 SOP 우회 176
SOP 우회의 악용 177
요청 대리 전달 178 
 UI 재치장 공격의 악용 180 
브라우저 이력의 악용 200
요약 209
질문 210
참고 210

제5장 사용자 공격 215
페이지 내용 변조 215
사용자 입력 가로채기 220
초점 관련 사건 221 
키보드 사건 222 
마우스 및 포인터 사건 225 
양식 관련 사건 229 
 IFrame 키 기록 기법 230
사회공학 232
탭 낚아채기를 이용한 기법 232 
전체화면을 이용한 기법 233 
 UI에 대한 기대의 악용 239
서명된 Java 애플릿을 이용한 공격 261
개인정보 공격 267
비쿠키 세션 추적 269 
익명화 우회 270 
패스워드 관리 소프트웨어에 대한 공격 273
웹캠과 마이크 제어 276
요약 283
질문 283
참고 284

제6장 브라우저 공격 289
브라우저 지문 인식 291
 HTTP 헤더를 이용한 브라우저 지문 인식 292 
 DOM 속성을 이용한 브라우저 지문 인식 296
소프트웨어 버그를 이용한 브라우저 지문 인식 302 
기벽을 이용한 브라우저 지문 인식 303
쿠키 보호 우회 304
쿠키의 구조 305 
쿠키의 여러 특성들 307 
 Path 특성 제약의 우회 310 
쿠키 항아리 넘침 313
쿠키 이용한 사용자 추적 316 
사이드재킹 공격 317
HTTPS 우회 318
 HTTPS에서 HTTP로 등급 내리기 319 
인증서 공격 323 
 SSL/TLS 공격 325
URI 스킴 악용 326
 iOS에서의 스킴 관련 취약점 악용 327 
삼성 갤럭시에서의 스킴 관련 취약점 악용 329
JavaScript 공격 331
 JavaScript 암호화 공격 332 
 JavaScript와 힙 악용 335
Metasploit을 이용한 셸 접근 344
 Metasploit 시작하기 345 
악용 모듈의 선택 347 
특정 악용 모듈의 실행 348
 Browser Autopwn 모듈 활용 353 
 BeEF와 Metasploit의 연동 354
요약 357
질문 358
참고 359

제7장 확장 기능 공격 363
확장 기능의 분해 364
확장 기능과 플러그인의 차이 364 
확장 기능과 부가 기능의 차이 365 
특권 탐색 366
 Firefox의 확장 기능 368 
 Google Chrome의 확장 기능 376
 Internet Explorer의 확장 기능 388
확장 기능의 지문 인식 388
 HTTP 헤더를 이용한 지문 인식 389 
 DOM을 이용한 지문 인식 390
매니페스트를 이용한 지문 인식 393
확장 기능 공격 기법들 395
확장 기능의 위장 395 
 XCS(교차 문맥 스크립팅) 397 
운영체제 명령 실행 417
운영체제 명령 주입 421
요약 427
질문 428
참고 428

제8장 플러그인 공격 433
플러그인의 해부 434
플러그인과 확장 기능의 차이 435 
플러그인과 보통의 응용 프로그램의 차이 436
플러그인 호출 437 
플러그인이 차단되는 방식 439
플러그인 지문 인식 440
플러그인 검출 440 
자동적인 플러그인 검출 443 
 BeEF에서 플러그인 검출 445
플러그인 공격 446
클릭해서 실행 우회 447 
 Java 공격 454 
 Flash 공격 468 
 ActiveX 컨트롤 공격 472
 PDF 표시용 플러그인 공격 477 
매체 재생 플러그인 공격 480
요약 486
질문 487
참고 487

제9장 웹 응용 프로그램 공격 493
교차 기원 요청의 전송 494
교차 기원 요청에 관련된 기벽 찾기 494 
예비 요청 497 
함의 498
교차 기원 웹 응용 프로그램 탐색 498
인트라넷 웹 서버 IP 주소 탐색 498 
내부 도메인 이름 탐색 500
교차 기원 웹 응용 프로그램 지문 인식 503
알려진 자원의 요청 503
교차 기원 인증 여부 판정 510
XSRF 취약점 악용 515
 XSRF의 이해 515 
 XSRF를 이용한 패스워드 재설정 공격 519 
 XSRF 방지 토큰 공략 520
교차 기원 자원 검출 521
교차 기원 웹 응용 프로그램 취약점 검출 527
 SQL 주입 취약점 527 
 XSS 취약점 검출 544
브라우저를 프록시로 활용 549
브라우저를 통한 브라우징 553 
브라우저 프록시와 Burp Suite의 조합 559
브라우저 프록시와 Sqlmap의 조합 561 
 Flash를 프록시로 사용 564
서비스 거부 공격 570
웹 응용 프로그램의 과부하 지점 570 
다수의 후킹된 브라우저를 이용한 DDoS 공격 573
실제 웹 응용 프로그램 공격 사례 577
교차 기원 DNS 하이재킹 578 
교차 기원 JBoss JMX 원격 명령 실행 579
교차 기원 GlassFish 원격 명령 실행 583 
교차 기원 m0n0wall 원격 명령 실행 586
교차 기원 내장형 기기 명령 실행 588
요약 595
질문 595
참고 596

제10장 네트워크 공격 601
대상의 식별 602
후킹된 브라우저의 내부 IP 알아내기 602 
후킹된 브라우저의 부분망 식별 609
핑 쓸기 613
 XMLHttpRequest를 이용한 핑 쓸기 613 
 Java를 이용한 핑 쓸기 618
포트 탐지 622
포트 차단 우회 623 
 IMG 요소를 이용한 포트 탐지 629 
분산 포트 탐지 631
비HTTP 서비스의 지문 인식 634
비HTTP 서비스 공격 637
 NAT 핀 꽂기 638 
프로토콜 간 통신의 실현 643 
프로토콜 간 악용의 실행 660
BeEF Bind를 이용한 셸 연결 676
 BeEF Bind 셸코드 676 
 BeEF Bind를 이용한 악용 예제 683 
웹 셸로서의 BeEF Bind 696
요약 699
질문 700
참고 701

New Arrivals Books in Related Fields