HOME > Detail View

Detail View

(클라우드 환경의) 웹 해킹과 시큐어코딩 탐지/수정 실습가이드 : 웹 모의해킹 및 시큐어코딩 실전실습용

(클라우드 환경의) 웹 해킹과 시큐어코딩 탐지/수정 실습가이드 : 웹 모의해킹 및 시큐어코딩 실전실습용

Material type
단행본
Personal Author
최경철 김찬중, 저 이은진, 저
Title Statement
(클라우드 환경의) 웹 해킹과 시큐어코딩 탐지/수정 실습가이드 : 웹 모의해킹 및 시큐어코딩 실전실습용 / 최경철, 김찬중, 이은진 지음
Publication, Distribution, etc
고양 :   SECUBook,   2021  
Physical Medium
319 p. : 삽화 ; 24 cm
Series Statement
보안컨설팅 시리즈
ISBN
9788996427582
000 00000cam c2200205 c 4500
001 000046077061
005 20210412102017
007 ta
008 210409s2021 ggka 000c kor
020 ▼a 9788996427582 ▼g 93000
035 ▼a (KERIS)BIB000015804749
040 ▼a 211029 ▼c 211029 ▼d 211009
082 0 4 ▼a 005.8 ▼2 23
085 ▼a 005.8 ▼2 DDCK
090 ▼a 005.8 ▼b 2021z1
100 1 ▼a 최경철
245 2 0 ▼a (클라우드 환경의) 웹 해킹과 시큐어코딩 탐지/수정 실습가이드 : ▼b 웹 모의해킹 및 시큐어코딩 실전실습용 / ▼d 최경철, ▼e 김찬중, ▼e 이은진 지음
260 ▼a 고양 : ▼b SECUBook, ▼c 2021
300 ▼a 319 p. : ▼b 삽화 ; ▼c 24 cm
490 1 0 ▼a 보안컨설팅 시리즈
700 1 ▼a 김찬중, ▼e
700 1 ▼a 이은진, ▼e
830 0 ▼a 보안컨설팅 시리즈
945 ▼a KLPA

Holdings Information

No. Location Call Number Accession No. Availability Due Date Make a Reservation Service
No. 1 Location Science & Engineering Library/Sci-Info(Stacks1)/ Call Number 005.8 2021z1 Accession No. 121256987 Availability Available Due Date Make a Reservation Service B M

Contents information

Book Introduction

클라우드 환경에서 프로젝트 커밋, 자동빌드, 자동 취약점 점검(소스코드/도커 이미지/3rd party 라이브러리/웹 취약점 점검) 실습을 통해 DevSecOps 기술을 습득해 볼 것이며, 또한 최신 WebGoat 버전을 이용한 시큐어코딩 실습 및 시나리오 별 모의해킹을 수행하는 방법도 진행해 볼 것이다.

CI/CD 파이프라인의 개발과정에서 효율적인 DevOps 접근 방식은 민첩성과 대응 능력을 최대한 활용할 수 있는 장점이 있었다. 하지만 이러한 DevOps에도 보안적인 부분이 접근하기 어려웠던 단점을 보완하기 위해 DevSecOps라는 개념 및 용어가 등장하게 되었다.

DevSecOps는 어플리케이션의 전체 라이프사이클에서 IT 보안팀이 처음부터 참여하면서 개발, 테스트, 보안, 운영에 이르는 전반적인 부분에 관여하게 되면서 조금 더 빠르게 사용자에게 배포할 수 있는 개념이다.

이 책에서는 클라우드 환경에서 프로젝트 커밋, 자동빌드, 자동 취약점 점검(소스코드/도커 이미지/3rd party 라이브러리/웹 취약점 점검) 실습을 통해 DevSecOps 기술을 습득해 볼 것이며, 또한 최신 WebGoat 버전을 이용한 시큐어코딩 실습 및 시나리오 별 모의해킹을 수행하는 방법도 진행해 볼 것이다.


Information Provided By: : Aladin

Author Introduction

최경철(지은이)

현재 보안초보스터디(http://cafe.naver.com/sec)에서 운영자로 활동중이며, 주요관심분야는 취약점분석툴의 패턴과 탐지근거에 대한 조사이며, 관련 연구를 학술지 등에 발표하였다. 관련저서로는 (웹 해킹과 방어), (웹 모의해킹 및 시큐어코딩 진단가이드), (시스템 해킹의 원리와 이해), (네트워크 패킷 포렌식) 및 (안드로이드 앱 취약점 분석)이 있다.

김찬중(지은이)

아주대학교 석사졸업(정보보안 전공) 후 보안전문업체에서 보안관제, 모의해킹 등을 경험 하였으며 현재는 SI와 관련된 업무를 진행하면서 다양한 지식을 넓혀가고 있는 중이다. 현재 클라우드, 모의해킹, AI등에 관심을 가지고 있으며, 다양한 경험을 통해 자신의 가치를 넓혀가려고 생각하고있다. 보안 초보스터디(https://cafe.naver.com/sec) 부메니저를 맡고있다.

이은진(지은이)

1993년 공장자동화 개발자로 시작해 2000년 썬마이크로시스템즈 Instructor로 인연을 맺어 J2EE 기반 기술로의 변화는 지금까지 IT 업계에서 일하는 기반이 된듯하다. 2015년 트리니티 소프트에서 소프트웨어 보안 진단 컨설팅 업무는 개인적인 기술변화의 계기가 되었고 관련 업무와 강의를 하면서 소프트웨어 보안은 소프트웨어 관련된 아키텍, 설계자, 개발자, 테스터, 운영자 각 각이 취약점을 이해하고 보안을 위한 역할을 담당하는 것이 가장 효율적이라는 생각은 확실해진다. 지금은 클라우드 기반의 MSA(Micro Service Architecture) 개발에 관심을 가지고 관련된 소프트웨어 보안을 고민하고 있다. 저자와의 인연으로 보안에 대한 부족한 부분을 채우고 개발에 대한 노하우를 공유할 수 있었으며, 기술 변화의 흐름에 맞춰 끊임없이 고민하고 공부하고 출판을 통해 공유하는 저자와 함께 일할 수 있는 기회가 주어져 감사하다. 이 책은 소프트웨어 아키텍, 설계자, 개발자, 테스터, 운영자에게 취약점을 이해하는데 큰 도움이 될 것이라 생각하며, 소프트웨어 보안 담당하는 보안 담당자들에게는 보안 약점에 대한 코드 설명과 대응방안이 도움이 될 것이라 생각한다.

Information Provided By: : Aladin

Table of Contents

Part 01 시큐어코딩 탐지 및 코드수정
Section 01 소스코드 취약점 점검기준
1. CWE/SANS Top 25

Section 02 클라우드 기반의 시큐어코딩 환경 이해
1. CI/CD 파이프라인
2. 데브섹옵스(DevSecOps)

Section 03 클라우드 기반의 시큐어코딩 환경 구성
1. 설치 및 환경설정
2. CI/CD 파이프라인 구성

Section 04 모의공격 및 시큐어코딩 실습
1. SQL Injection
2. Path traversal
3. CRLF Injection
4. JWT(Json web token) 변조
5. 중요 데이터 평문전송 취약점
6. XXE
7. Insecure Direct Object References 변조
8. XSS
9. Inseure deserialization
10. Vulnerable Components
11. 취약한 암호화 알고리즘
12. 오류 메시지를 통한 정보 노출

Part 02 웹 취약점 탐지 및 모의해킹
Section 01 웹 취약점 점검기준
1. A1-Injection
2. A2-Broken authentication
3. A3-Sensitive data exposure
4. A4-XML External entities
5. A5-Broken access control
6. A6-Security misconfiguration
7. A7-XSS
8. A8-Insecure deserialization

New Arrivals Books in Related Fields

유원석 (2021)
해람북스. 기획팀 (2021)
해람북스. 기획팀 (2021)