| 000 | 00000cam c2200205 c 4500 | |
| 001 | 000045902687 | |
| 005 | 20170411142941 | |
| 007 | ta | |
| 008 | 170411s2016 ulka 000c kor | |
| 020 | ▼a 9788968488368 ▼g 93000 | |
| 035 | ▼a (KERIS)BIB000014267701 | |
| 040 | ▼a 221016 ▼c 221016 ▼d 221016 ▼d 211009 | |
| 082 | 0 4 | ▼a 005.8 ▼2 23 |
| 085 | ▼a 005.8 ▼2 DDCK | |
| 090 | ▼a 005.8 ▼b 2016z28 | |
| 245 | 2 0 | ▼a (비박스 환경을 활용한) 웹 모의해킹 완벽 실습 / ▼d 조정원 [외]지음 |
| 260 | ▼a 서울 : ▼b 한빛미디어, ▼c 2016 | |
| 300 | ▼a 376 p. : ▼b 삽화 ; ▼c 23 cm | |
| 440 | 0 0 | ▼a Hanbit realtime ; ▼v 138 |
| 500 | ▼a 공저자: 이승준, 김영선, 최일선, 이선경, 이해인 | |
| 700 | 1 | ▼a 조정원, ▼e 저 |
| 700 | 1 | ▼a 이승준, ▼e 저 |
| 700 | 1 | ▼a 김영선, ▼e 저 |
| 700 | 1 | ▼a 최일선, ▼e 저 |
| 700 | 1 | ▼a 이선경, ▼e 저 |
| 700 | 1 | ▼a 이해인, ▼e 저 |
| 945 | ▼a KLPA |
소장정보
| No. | 소장처 | 청구기호 | 등록번호 | 도서상태 | 반납예정일 | 예약 | 서비스 |
|---|---|---|---|---|---|---|---|
| No. 1 | 소장처 과학도서관/Sci-Info(1층서고)/ | 청구기호 005.8 2016z28 | 등록번호 121239851 (13회 대출) | 도서상태 대출가능 | 반납예정일 | 예약 | 서비스 |
컨텐츠정보
책소개
모의해킹 업무 및 웹 애플리케이션 취약점에 대한 궁금증이 있는 입문자부터 실무자까지 볼 수 있는 책이다. 웹 애플리케이션 취약점을 포함한 최신 공격 기법을 실습하고, 실습 환경에 맞춰 다양한 공격 기법 사례 및 대응방안을 제시한다. 또한, 공격을 진행하기 위한 도구(버프스위트)의 활용 방법을 제시한다. 이 책은 주요 공격 기법의 난이도별 가이드를 제시하므로 이 책의 내용을 따라 하다 보면 웹 애플리케이션 취약점과 공격 기법을 이해할 수 있다.
이 책은 모의해킹 업무 및 웹 애플리케이션 취약점에 대한 궁금증이 있는 입문자부터 실무자까지 볼 수 있는 책으로, 다음과 같은 내용을 다룬다.
o 웹 애플리케이션 취약점을 포함한 최신 공격 기법 실습
o 실습 환경에 맞춰 다양한 공격 기법 사례 및 대응방안 제시
o 공격을 진행하기 위한 도구(버프스위트)의 활용 방법 제시
비박스(bee-box)는 웹 취약점을 공격할 수 있는 오픈소스 웹 애플리케이션인 bWAPP(buggy Web Application)이 설치된 가상환경으로, 최신 시스템 공격 기법을 포함하고 있고 항목별로 난이도가 조정된다. 이 책은 주요 공격 기법의 난이도별 가이드를 제시하므로 이 책의 내용을 따라 하다 보면 웹 애플리케이션 취약점과 공격 기법을 이해할 수 있다.
정보제공 :
저자소개
조정원(지은이)
'보안프로젝트(www.boanproject.com)' 대표로 활동하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 담당했고, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스코드 진단 등 다양한 영역에서 취약점 진단을 수행했다. 이후 KTH 보안 팀에서 모바일 서비스, 클라우드 서비스 보안, 침해 사고 대응 업무를 수행했고, KB투자증권에서 보안 업무를 담당했다.
이승준(지은이)
NSHC 싱가포르 지사 소속으로 국내외 보안 트레이닝을 총괄하며, 보안프로젝트에서 활동하고 있다. 미국에서 컴퓨터공학을 공부하다 배울 만한 수업 내용이 없어 3 학년을 마친 후 자퇴하고 프리랜서로 3년 동안 소프트웨어 개발을 하였다. 개발하면서 보안에관심이 많아 침투 테스트 관련 연구 및 공부를 하고 4년 동안 모의해킹 컨설팅을 하였다. 이후 국내에서 트레이닝하며 홍콩 경찰청을 시작으로 이란 경찰청, 르완다, 콜롬비아, 싱가포르 등 여러 나라에서 침투 테스트, 악성코드 분석, 침해대응, 스카다 등에 대한 보안 트레이닝을 하고 있다. 보안 외에도 인공지능, 게임 개발에도 관심이 많아 연구와 공부를 병행하고 있다.
김영선(지은이)
서울여자대학교에서 정보보안과 멀티미디어를 전공하였으며 NXT 개발 및 비컨(Beacon)을 이용한 IoT 앱 개발 프로젝트 등을 진행하였다. 보안에 관심이 많아 보안에 대한 특강을 접한 것을 시작으로 보안프로젝트 멤버로 활동하고 있다. 오픈소스 도구 분석 및 웹 취약점 진단에 대한 연구를 하였으며, 최근 모의해킹에 대해 공부하고 있다. 현재는 NSHC 보안교육팀 소속 연구원으로 콘텐츠 개발 및 트레이너로 활동 중이다.
최일선(지은이)
IT 비전공자였지만 뒤늦게 IT 분야에 빠져들어 현재는 보안 분야의 전문가로 활동 중이다. 현재는 보안프로젝트에서 기술이사를 재직하고 있으며 K-쉴드 주니어, 멀티캠퍼스, 한컴MDS, SK인포섹, 한세사이버고등학교 외 다양한 기업 및 학교에서 외부 강사로 활동하고 있다. 주로 보안 분야와 파이썬 프로그래밍, 데이터 분석, 딥러닝 등의 강의를 인프런을 통해 제공하고 있다. 공저로는 [비박스 환경을 활용한 웹 모의해킹 완벽 실습]이 있으며, 현재 유튜브 채널인 "재즐보프"를 열어 많은 사람에게 IT 관련 지식을 배우는 즐거움을 전파하는 데 힘쓰고 있다.
이선경(지은이)
정보보호학을 전공하였으며, 현재 보안프로젝트 멤버로 활동 중이다. 모의 환경에서 OWASP Top 10을 기준으로 웹 취약점 진단을 공부하였으며 하둡을 이용한 SIEMS(ecurity Identity and Event Management) 파일럿 제작 프로젝트에도 참여하였다. IoT 환경에서 발생 가능한 보안 사고에 대한 대비책을 연구 목적으로 삼고 있으며 파이썬을 활용한 취약점 진단 도구 제작과 머신러닝에도 관심이 많다.
이해인(지은이)
서울여자대학교에서 정보보호를 전공하였다. 보안프로젝트 오프라인 스터디 멤버로 1년간 활동하면서 웹 애플리케이션 취약점 진단, 윈도우 악성코드 분석, 네트워크 해킹 방어 등 다양한 프로젝트를 수행하였다. 현재는 ICS/SCADA 해킹과 램넉스 도구 분석에 관심이 있어 이를 연구 중이다.
목차
chapter 1 개요 = 17
1.1 비박스란 = 17
1.2 취약점 분류 = 18
1.3 점검 환경 구성 = 23
Part 1 A1 - 인젝션 = 39
chapter 2 HTML 인젝션 = 41
2.1 반사(GET) = 42
2.2 반사(POST) = 48
2.3 저장(Blog) = 54
chapter 3 기타 인젝션 공격 = 59
3.1 iframe 인젝션 = 59
3.2 OS 커맨드 인젝션 = 68
3.3 PHP 코드 인젝션 = 72
3.4 SSI 인젝션 = 77
chapter 4 SQL 인젝션 = 84
4.1 GET/Search = 84
4.2 POST/Search = 95
4.3 GET/Select = 104
4.4 POST/Select = 108
4.5 AJAX/JSON/jQuery = 120
4.6 Login Form/Hero = 126
4.7 저장(Blog) = 129
chapter 5 Blind SQL 인젝션 = 133
5.1 Boolean Based = 134
5.2 Time Based = 142
5.3 웹 서비스/SOAP = 150
chapter 6 XML/Xpath 인젝션 = 161
6.1 Login Form = 162
6.2 Search = 171
Part 2 A2 - 인증 및 세션 관리 취약점 = 177
chapter 7 인증 결함 = 179
7.1 안전하지 않은 로그인 형식 = 179
7.2 비밀번호 무차별 대입 공격 = 185
7.3 비밀번호 사전 대입 공격 = 189
chapter 8 세션 관리 취약점 = 195
8.1 관리자 페이지 접근 = 195
8.2 URL 주소 조작을 통한 세션 우회 = 199
Part 3 A3 - 크로스 사이트 스크립팅 = 203
chapter 9 저장된 XSS 취약점 = 205
9.1 Blog = 206
9.2 change Secret = 209
9.3 User-Agent = 214
chapter 10 반사된 XSS 취약점 = 219
10.1 GET = 219
10.2 POST = 222
10.3 JSON = 229
10.4 AJAX/JSON = 231
10.5 eval = 238
10.6 HREF = 240
10.7 phpMyAdmin = 245
10.8 PHP_SELF = 249
Part 4 A4 - 취약한 직접 객체 참조 = 255
chapter 11 중요 정보 변경 = 257
11.1 난이도 하 = 257
11.2 대응방안 = 258
chapter 12 중요 정보 초기화 = 260
12.1 난이도 하 = 260
12.2 대응방안 = 263
chapter 13 상품 주문 가격 조작 = 265
13.1 난이도 하 = 265
13.2 대응방안 = 266
Part 5 A5 - 보안 설정 오류 = 267
chapter 14 Robots 파일 내 중요한 정보 노출 = 269
14.1 난이도 하 = 269
chapter 15 안전하지 않은 WebDAV 설정 = 273
15.1 난이도 하 = 273
15.2 대응방안 = 277
Part 6 A6 - 민감 데이터 노출 = 279
chapter 16 Base64 인코딩 복호화 = 281
16.1 난이도 하 = 281
16.2 대응방안 = 283
chapter 17 HTTP 페이지 내 평문 데이터 = 284
17.1 난이도 하 = 284
17.2 대응방안 = 291
chapter 18 HTML5 웹 저장소 = 292
18.1 난이도 하 = 292
18.2 대응방안 = 295
chapter 19 중요 정보 텍스트 파일 저장 = 296
19.1 난이도 하 = 296
19.2 난이도 중 = 298
19.3 대응방안 = 299
chapter 20 하트블리드 취약점 = 301
20.1 난이도 하 = 301
20.2 대응방안 = 306
Part 7 A7 - 기능 수준의 접근 통제 누락 = 307
chapter 21 디렉터리 리스팅 취약점 = 309
21.1 디렉터리 = 309
21.2 파일 = 312
chapter 22 파일 삽입 = 316
22.1 난이도 하 = 316
22.2 대응방안 = 320
chapter 23 디바이스 접근 제한 = 322
23.1 난이도 하 = 322
23.2 대응방안 = 326
chapter 24 서버 측 요청 변조 = 327
24.1 난이도 하 = 327
24.2 대응방안 = 334
Part 8 A8 - 크로스 사이트 요청 변조 = 335
chapter 25 XML 외부 엔티티 공격 = 337
25.1 난이도 하 = 337
25.2 대응방안 = 341
chapter 26 비밀번호 변경 = 343
26.1 난이도 하 = 343
26.2 대응방안 = 345
chapter 27 비밀번호 힌트 변경 = 347
27.1 난이도 하 = 347
27.2 대응방안 = 349
chapter 28 계좌 이체 = 352
28.1 난이도 하 = 352
28.2 대응방안 = 354
Part 9 A9 - 알려진 취약점이 있는 컴포넌트 사용 = 357
chapter 29 PHP CGI 원격 실행 공격 = 359
29.1 난이도 하 = 359
chapter 30 셸쇼크 취약점 = 365
Part 10 A10 - 검증되지 않은 리다이렉트와 포워드 = 369
chapter 31 검증되지 않은 리다이렉트와 포워드 (1) = 371
31.1 난이도 하 = 371
31.2 대응방안 = 372
chapter 32 검증되지 않은 리다이렉트와 포워드 (2) = 374
32.1 난이도 하 = 374
32.2 대응방안 = 375
마무리하며 = 376