HOME > Detail View

Detail View

침투 본능, 해커의 기술 : 해킹 공격자의 관점에서 바라보는 웹 애플리케이션 보안 안내서

Material type
단행본
Personal Author
Pruteanu, Adrian 최용, 역
Title Statement
침투 본능, 해커의 기술 : 해킹 공격자의 관점에서 바라보는 웹 애플리케이션 보안 안내서 / 아드리안 프루티아누 지음 ; 최용 옮김
Publication, Distribution, etc
파주 :   위키북스,   2020  
Physical Medium
xvi, 376 p. : 삽화 ; 24 cm
Series Statement
위키북스 해킹 & 보안 시리즈 ;022
Varied Title
Becoming the hacker : the playbook for getting inside the mind of an attacker
ISBN
9791158392109
General Note
색인수록  
000 00000cam c2200205 c 4500
001 000046074378
005 20210319105543
007 ta
008 210318s2020 ggka 001c kor
020 ▼a 9791158392109 ▼g 93000
035 ▼a (KERIS)BIB000015606037
040 ▼a 211009 ▼c 211009 ▼d 211009
041 1 ▼a kor ▼h eng
082 0 4 ▼a 005.8 ▼2 23
085 ▼a 005.8 ▼2 DDCK
090 ▼a 005.8 ▼b 2020z8
100 1 ▼a Pruteanu, Adrian
245 1 0 ▼a 침투 본능, 해커의 기술 : ▼b 해킹 공격자의 관점에서 바라보는 웹 애플리케이션 보안 안내서 / ▼d 아드리안 프루티아누 지음 ; ▼e 최용 옮김
246 1 9 ▼a Becoming the hacker : ▼b the playbook for getting inside the mind of an attacker
260 ▼a 파주 : ▼b 위키북스, ▼c 2020
300 ▼a xvi, 376 p. : ▼b 삽화 ; ▼c 24 cm
490 1 0 ▼a 위키북스 해킹 & 보안 시리즈 ; ▼v 022
500 ▼a 색인수록
700 1 ▼a 최용, ▼e
830 0 ▼a 위키북스 해킹 and 보안 시리즈 ; ▼v 022
900 1 0 ▼a 프루티아누, 아드리안, ▼e
945 ▼a KLPA

Holdings Information

No. Location Call Number Accession No. Availability Due Date Make a Reservation Service
No. 1 Location Science & Engineering Library/Sci-Info(Stacks1)/ Call Number 005.8 2020z8 Accession No. 121256786 Availability Available Due Date Make a Reservation Service B M

Contents information

Book Introduction

독자를 웹 침투 테스트를 수행하는 공격자의 입장에 서게 한다. 웹 애플리케이션의 성능을 테스트하는 일은 흔하지만, 공격을 막는 수비자의 입장에서 끊임없이 변화하는 보안 지형에 대응하는 보안 테스팅은 더 어렵다. 웹 애플리케이션의 잠재적 위협을 완전히 찾아내 방어해 준다고 주장하는 도구는 많지만, 각자의 웹 애플리케이션과 서비스에 정말로 유용한지는 따져볼 필요가 있다. 그러기 위해서는 공격자가 웹 애플리케이션에 어떻게 접근해 방어를 뚫는지 이해해야 한다.

이 책의 전반부에서는 일반적인 취약점을 알아보고 공격에 취약점을 이용하는 법을 배운다. 후반부에서는 실제적인 최신 기법을 배우며, 널리 사용되는 콘텐츠 관리 시스템과 컨테이너 애플리케이션을 대상으로 삼는 공격 시나리오를 연구한다. 《침투 본능, 해커의 기술》은 공격자의 눈으로 웹 애플리케이션 보안을 바라보는 명쾌한 안내서로, 공격과 수비 양측 모두에 도움이 될 것이다.

《침투 본능, 해커의 기술》은 독자를 웹 침투 테스트를 수행하는 공격자의 입장에 서게 한다. 웹 애플리케이션의 성능을 테스트하는 일은 흔하지만, 공격을 막는 수비자의 입장에서 끊임없이 변화하는 보안 지형에 대응하는 보안 테스팅은 더 어렵다.

웹 애플리케이션의 잠재적 위협을 완전히 찾아내 방어해 준다고 주장하는 도구는 많지만, 각자의 웹 애플리케이션과 서비스에 정말로 유용한지는 따져볼 필요가 있다. 그러기 위해서는 공격자가 웹 애플리케이션에 어떻게 접근해 방어를 뚫는지 이해해야 한다.

이 책의 전반부에서는 일반적인 취약점을 알아보고 공격에 취약점을 이용하는 법을 배운다. 후반부에서는 실제적인 최신 기법을 배우며, 널리 사용되는 콘텐츠 관리 시스템과 컨테이너 애플리케이션을 대상으로 삼는 공격 시나리오를 연구한다.

《침투 본능, 해커의 기술》은 공격자의 눈으로 웹 애플리케이션 보안을 바라보는 명쾌한 안내서로, 공격과 수비 양측 모두에 도움이 될 것이다.

★ 이 책에서 다루는 내용 ★

◎ 공격자의 마음가짐
◎ 방어 전략 도입
◎ 웹 애플리케이션에 대한 위협을 분류하고 대응 계획 세우기
◎ 시스템 보안 문제에 대비하기
◎ 워드프레스(WordPress)와 모바일 애플리케이션 보호
◎ 보안성을 높여 원격 실행을 방지하는 도구와 계획


Information Provided By: : Aladin

Author Introduction

아드리안 프루티아누(지은이)

성공한 보안 컨설턴트 및 연구자로, 공격이 그의 전문 분야다. 수많은 침투 테스트, 레드 팀 훈련, 애플리케이션 보안 평가를 수행하며 10년이 넘는 경력을 쌓았다. 포춘 500대 기업과 일하면서 취약점 식별 및 맬웨어 샘플의 역공학을 통해 그들의 보안 시스템을 강화하는 것을 돕고 있다. 또한 CISSP, OSCE, OSCP, GXPN, GREM 및 다수의 마이크로소프트(Microsoft) 자격증을 보유하고 있다. 그는 마이크로소프트의 공인 강사로 여러 고객에 맞춤 트레이닝을 제공했다. 여가 시간에는 침투 테스팅에 도움을 주거나 온라인 사용자를 안전하게 만드는 새로운 도구와 소프트웨어를 개발하는 것을 좋아한다. 때로는 버그 바운티에 참여하고 취약점 연구와 (책임감 있는) 공개에 시간을 쏟는다.

최용(옮긴이)

한국방송통신대학교에서 컴퓨터과학을 전공하고, 은행 전산실 운영과 배치 작업 자동화(Workload Automation)를 지원하는 기술자로 일했다. 번역한 책으로는 《블록체인으로 구현하는 사이버 보안》(위키북스 2018), 《솔리디티 프로그래밍 에센셜》(위키북스 2018), 《익스플로링 라즈베리 파이》(위키북스 2018), 《파이썬으로 배우는 데이터 과학 입문과 실습》(위키북스 2018)이 있다.

Information Provided By: : Aladin

Table of Contents

▣ 01장: 웹 애플리케이션 공격 소개
교전 수칙
__의사소통
__프라이버시 고려 사항
__뒷정리
테스트 도구
__칼리 리눅스(Kali Linux)
__칼리 리눅스를 대체할 수 있는 도구
공격 프락시
__버프 스위트(Burp Suite)
__ZAP(Zed Attack Proxy)
클라우드 인프라
참고 자료
실습
요약

▣ 02장: 효율적 탐색
평가 유형
보안 스캐너
__masscan
__WhatWeb
__Nikto
__CMS 스캐너
효율적 무차별 공격
__콘텐츠 탐색(content discovery)
__지속적 콘텐츠 탐색
__페이로드 처리
폴리글랏 페이로드
__단일 페이로드를 여러 문맥에서 실행
__코드 난독화
참고 자료
실습
요약

▣ 03장: 손쉬운 먹잇감
네트워크 평가
__침투 경로 물색하기
__자격증명 추측하기
위블리 셸로 업그레이드하기
뒷정리
참고 자료
요약

▣ 04장: 고급 무차별 공격
패스워드 스프레이
__링크드인(LinkedIn) 스크레이핑
__FOCA를 사용한 메타데이터 분석
__cluster bomb 공격
공격 원점 숨기기
__토르(Tor)
__프락시 캐논(Proxy cannon)
요약

▣ 05장: 파일 인클루전 공격
RFI(원격 파일 인클루전)
LFI(로컬 파일 인클루전)
파일 인클루전으로 원격 코드 실행
그 외의 파일 업로드 관련 문제들
요약

▣ 06장: 대역 외 익스플로잇
일반적인 시나리오
C2 VM 인스턴스 배포
렛츠 인크립트(Let’s Encrypt) 인증서 설치
INetSim
취약점 존재 여부 확인
비동기 데이터 탈취
데이터 추론하기
요약

▣ 07장: 테스팅 자동화
버프 확장
__인증 악용
__CO2 플러그인
코드 난독화
버프 컬래보레이터
__퍼블릭 컬래보레이터 서버
__프라이빗 컬래보레이터 서버
요약

▣ 08장: 나쁜 직렬화
PHP 역직렬화 악용
자바로 구현한 커스텀 프로토콜 공격하기
__프로토콜 분석
__역직렬화 익스플로잇
요약

▣ 09장: 클라이언트 측 공격의 실제
동일 출처 정책(SOP)
교차 원점 리소스 공유
XSS
__반사 XSS
__지속 XSS
__DOM 기반 XSS
CSRF
비프(BeEF)
__후킹
__사회공학 공격
__키 로거
__지속성
__자동 익스플로잇
__트래픽 터널링
요약

▣ 10장: 서버 측 공격의 실제
내부 및 외부 참조
XXE(XML 외부 엔티티) 공격
__XML 폭탄
__요청 위조
__정보 빼내기
__블라인드 XXE
__원격 코드 실행
__인터랙티브 셸
요약

▣ 11장: API를 공격하기
API 통신 프로토콜
__SOAP
__REST
API 인증
__기본 인증
__API 키
__Bearer 인증
__JWT(JSON 웹 토큰)
버프 JWT 지원
포스트맨(Postman)
__설치
__업스트림 프락시
__환경
__컬렉션(Collection)
__컬렉션 러너(Collection Runner)
공격 고려 사항
요약

▣ 12장: CMS 공격하기
애플리케이션 평가
__WPScan
__sqlmap
__Droopescan
__아라크니(Arachni) 웹 스캐너
코드에 백도어 심기
__지속성 얻기
__자격증명 탈취
요약

▣ 13장: 도커 컨테이너 공격하기
취약한 도커 시나리오
컨테이너에 셸 액세스하기
다른 컨테이너로 피벗
컨테이너 탈출
요약

New Arrivals Books in Related Fields

유원석 (2021)
해람북스. 기획팀 (2021)
해람북스. 기획팀 (2021)