HOME > 상세정보

상세정보

화이트 해커를 위한 웹 해킹의 기술 : 모의 해킹으로 배우는 웹 공격과 대응

자료유형
단행본
개인저자
최봉환
서명 / 저자사항
화이트 해커를 위한 웹 해킹의 기술 : 모의 해킹으로 배우는 웹 공격과 대응 / 최봉환 지음
발행사항
서울 :   비제이퍼블릭,   2018  
형태사항
xvii, 409 p. : 삽화: ; 24 cm
기타표제
화이트 해커가 되기 위한 8가지 웹 해킹 기술
ISBN
9791186697634
일반주기
부록: VM웨어를 이용한 실습 환경 구성  
색인수록  
000 00000cam c2200205 c 4500
001 000046077062
005 20210412102211
007 ta
008 210409s2018 ulka 001c kor
020 ▼a 9791186697634 ▼g 93000
035 ▼a (KERIS)BIB000014857367
040 ▼a 222003 ▼c 222003 ▼d 211009
082 0 4 ▼a 005.8 ▼2 23
085 ▼a 005.8 ▼2 DDCK
090 ▼a 005.8 ▼b 2018z21
100 1 ▼a 최봉환
245 1 0 ▼a 화이트 해커를 위한 웹 해킹의 기술 : ▼b 모의 해킹으로 배우는 웹 공격과 대응 / ▼d 최봉환 지음
246 1 3 ▼a 화이트 해커가 되기 위한 8가지 웹 해킹 기술
260 ▼a 서울 : ▼b 비제이퍼블릭, ▼c 2018
300 ▼a xvii, 409 p. : ▼b 삽화: ; ▼c 24 cm
500 ▼a 부록: VM웨어를 이용한 실습 환경 구성
500 ▼a 색인수록
945 ▼a KLPA

소장정보

No. 소장처 청구기호 등록번호 도서상태 반납예정일 예약 서비스
No. 1 소장처 과학도서관/Sci-Info(1층서고)/ 청구기호 005.8 2018z21 등록번호 121256988 도서상태 대출가능 반납예정일 예약 서비스 B M

컨텐츠정보

책소개

필수적으로 알아야 할 기존의 웹 공격 기술과 더불어 OWASP Top 10에서도 심각하게 다루는 최신 웹 공격 기술을 단순히 이론적으로 소개하는 것이 아니라 독자들이 관련된 기술을 모의해킹을 통해 직접 실습할 수 있도록 도움으로써, 각 공격 기법과 그 대응 방법을 제대로 이해할 수 있도록 집필했다.

웹 보안은 정보보안 전문가뿐만 아니라, 웹 애플리케이션을 개발하는 개발자와 테스터, 웹사이트 서비스 운영자 등 모든 웹 관계자들이 다 같이 고민해야 하는 주제이다. 따라서 축적된 전문적인 보안 지식이 없더라도 누구나 학습하고 실습함에 어려움이 없도록 최대한 쉽게 설명하고 실습 과정을 자세히 기술하려고 노력했다. 또한 실무에서 참고할 수 있도록 필자의 실무 경험을 토대로 다양한 웹 모의해킹 팁을 별도로 표시해두었다.

모의 해킹으로 배우는 웹 공격과 대응

우리는 매일 웹사이트에 접속해서 뉴스와 동영상을 보고 정보를 검색합니다. 최근 발달한 클라우드로 중요한 파일을 웹을 통해 저장하기도 합니다. 모바일 애플리케이션의 서버는 웹으로 구현되어 있고, 일반 가정에서 사용하는 공유기와 카메라, 각종 사물 인터넷 기기들의 관리 인터페이스 역시 웹으로 되어 있습니다. 이러한 이유로 웹은 공격자가 내부로 침투하기 위한 최초 관문이 되는 경우가 많습니다. 그렇기에 웹 보안은 아주 중요하고, 앞으로도 더욱 중요해질 분야입니다.

웹 보안을 위한 가장 좋은 방법은 웹 공격이 실제로 어떻게 이루어지는지 알고 대응하는 것입니다. 따라서 이 책에서는 전문적인 보안 지식이 없는 독자라 하더라도 누구나 학습하고 실습함에 어려움이 없도록 최대한 쉽게 설명하고 실습 과정을 자세히 기술하였습니다. 이와 더불어 저자의 실무 경험을 토대로 한 다양한 웹 모의 해킹 팁을 수록하였습니다. 이 책이 웹 관련 각종 실무에서 누구나 항상 옆에 두고 참고할 수 있는 웹 보안 가이드가 되길 바랍니다.

이 책의 특징
- 정보 수집 단계부터 침투까지 각종 웹 모의 해킹 기법 완벽 실습 및 대응 방안 학습
- 최신 웹 보안 트렌드 OWASP Top 10에 포함된 내용 실습 포함
- 웹 모의 해킹 노하우와 웹 개발 시 고려해야 할 핵심 보안 내용 수록

이 책이 필요한 독자
- 웹 모의 해킹과 웹 보안에 대해 쉽고 재미있게 배우고 싶은 독자
- 정보 보안 전문가를 진로로 하고 있는 독자
- 시큐어 코딩과 웹 애플리케이션 보안에 대해 고민하는 개발자, 테스터, 관리자

독자대상
초중급

소스코드 다운로드
https://github.com/bjpublic/whitehacker/

이 책은 필수적으로 알아야 할 기존의 웹 공격 기술과 더불어 OWASP Top 10에서도 심각하게 다루는 최신 웹 공격 기술을 단순히 이론적으로 소개하는 것이 아니라 독자들이 관련된 기술을 모의해킹을 통해 직접 실습할 수 있도록 도움으로써, 각 공격 기법과 그 대응 방법을 제대로 이해할 수 있도록 집필했습니다.

웹 보안은 정보보안 전문가뿐만 아니라, 웹 애플리케이션을 개발하는 개발자와 테스터, 웹사이트 서비스 운영자 등 모든 웹 관계자들이 다 같이 고민해야 하는 주제입니다. 따라서 축적된 전문적인 보안 지식이 없더라도 누구나 학습하고 실습함에 어려움이 없도록 최대한 쉽게 설명하고 실습 과정을 자세히 기술하려고 노력했습니다. 또한 실무에서 참고할 수 있도록 필자의 실무 경험을 토대로 다양한 웹 모의해킹 팁을 별도로 표시해두었습니다. 이 책이 웹 보안에 관심 있는 모든 독자들에게 좋은 길잡이가 되길 바랍니다.

- 출판사 공지-

안녕하세요, 비제이퍼블릭입니다. 본 도서와 함께 제공되는 무료 강의 쿠폰 번호가 현재 사용 불가능한 상태입니다. 강의를 듣기 원하시는 독자분께서는 bjpublic@bjpublic.co.kr로 연락 주시면 대체 쿠폰 번호를 보내드리도록 하겠습니다. 이용에 불편을 끼쳐드려 죄송합니다.


정보제공 : Aladin

저자소개

최봉환(지은이)

카이스트를 졸업한 뒤 안랩에서 웜, 악성코드, 침입 탐지 시스템 연구 개발을 했고, 파이오링크에서 웹 방화벽을 설계하고 개발하였다. 현재 글로벌 오픈소스 기업 레드햇의 제품보안팀에서 레드햇 제품의 보안성을 높이기 위해 모의해킹, 버그헌팅, 보안 취약점 분석 시스템 개발 및 자동화 등을 맡고 있다. 대표적인 PAAS 클라우드 플랫폼인 오픈시프트의 위협 모델링과 보안 테스팅을 리드하며 동료 및 후배 직원의 교육을 담당하기도 했다. 지금까지 다수의 CVE 보안 취약점을 포함하여 수십 개의 보안 취약점을 발견하고 신고했으며, 한국인터넷진흥원의 명예의 전당에도 이름이 등재되어 있다. 해외에서 최고의 모의해킹 실무 자격증으로 인정받는 OSCP 및 CISSP, RHCE 등의 자격증을 보유하고 있다. 18년간 국내외에서 겪은 다양한 업무 경험을 바탕으로, '화이트해커가 되기 위한 카페'와 블로그, 컨퍼런스 발표 등을 통해 보안기술과 노하우를 공유하고 온라인 강좌도 개설하는 등 활발하게 활동하고 있다. 2018년 CSSA(소프트웨어보안 국제공동연구센터)와 한국침해사고대응팀협회에서 주최한 IoTcube 컨퍼런스에서 DevSecOps 모델 방안에 대해서 Continuous Security(지속적 보안)이란 제목으로 강연을 했다. 주요 강좌로는 '화이트 해커가 되기 위한 모의해킹 완전정복', '화이트 해커가 되기 위한 8가지 웹 해킹 기술'이 있다.

정보제공 : Aladin

목차

1부 웹 모의해킹 준비

1. 웹과 HTTP 기초
웹 아키텍처
HTTP
HTTP 요청 메시지
HTTP 응답 메시지

2. 웹 보안
보안 취약점과 정보보안의 3요소
해킹 단계
웹 공격 단계
웹 보안을 위한 공통 고려사항
OWASP Top 10

3. 실습 환경
실습 환경 개요
버추얼박스 설치
칼리 리눅스 설치
웹 모의해킹 실습용 가상 머신

4. 버프 스위트(Burp Suite)
HTTP 프록시 개요
버프 스위트 설정
웹 브라우저 프록시 설정
폭시프록시(FoxyProxy) 애드온
HTTPS 사이트 접속 문제
버프 스위트의 기능

2부 모의해킹 실습

5. 정보 수집
배너를 통한 정보 수집
기본 설치 파일을 통한 시스템 정보 수집
웹 취약점 스캐닝
디렉터리 인덱싱
웹 애플리케이션 매핑
정보 수집 대응 방법

6. 취약한 인증 공격
브루트 포스 공격 개요
브루트 포스 공격 실습
브루트 포스 공격 대응
세션ID 노출 사례 및 보호 대책

7. SQL 인젝션 공격
SQL 인젝션 공격 개요
SQL 인젝션 공격 실습
블라인드 SQL 인젝션 공격
sqlmap 자동화 공격
SQL 인젝션 공격 대응

8. 커맨드 인젝션 공격
커맨드 인젝션 공격 개요
커맨드 인젝션 공격 실습
커맨드 인젝션 공격 대응

9. 크로스 사이트 스크립팅 공격
리플렉티드 크로스 사이트 스크립팅(Reflected XSS) 공격 개요
리플렉티드 크로스 사이트 스크립팅(Reflected XSS) 공격 실습
BeEF 공격 프레임워크
스토어드 크로스 사이트 스크립팅(Stored XSS) 공격 개요
스토어드 크로스 사이트 스크립팅(Stored XSS) 공격 실습
크로스 사이트 스크립팅 공격 대응

10. 크로스 사이트 요청 변조(CSRF) 공격
CSRF 공격 개요
CSRF 공격 실습
CSRF 공격 대응

11. 파일 인클루전 공격
파일 인클루전 공격 개요
파일 인클루전 공격 실습
파일 인클루전 공격 대응

12. 파일 업로드 공격
파일 업로드 공격 개요
파일 업로드 공격 실습
파일 업로드 공격 대응

13. 민감한 데이터 노출
HTTP 프로토콜에 의한 노출
웹 스토리지를 통한 노출 실습
평문으로 된 패스워드 노출 실습
Base64 인코딩
민감한 데이터 노출 대응 방안

14. 접근 통제 취약점 공격
안전하지 않은 직접 객체 참조(IDOR 공격)
관리자 페이지 인증 우회
디렉터리 트래버설 취약점 공격 실습
접근 통제 취약점 공격 대응 방안

15. XXE(XML 외부 엔티티) 공격
XXE 공격 개요
XXE 공격 실습
XXE 공격 대응

16. 알려진 취약점을 이용한 공격
하트블리드(Heartbleed) 취약점 공격 실습
쉘쇼크(shellshock) 취약점 공격과 리버스 쉘 실습
메타스플로잇을 활용한 PHP-CGI 취약점 공격
알려진 취약점 공격 대응

17. 자바 역직렬화 취약점 공격
자바 역직렬화 취약점 개요
자바 역직렬화 취약점 공격 실습
자바 역직렬화 취약점 공격 대응

18. 실전 모의해킹
환경 구성
최종 실습
최종 실습 정리

부록: VM웨어를 이용한 실습 환경 구성
VM웨어 워크스테이션 플레이어 설치
가상 이미지 추가
네트워크 설정

관련분야 신착자료