| 000 | 00000cam c2200205 c 4500 | |
| 001 | 000046074378 | |
| 005 | 20210319105543 | |
| 007 | ta | |
| 008 | 210318s2020 ggka 001c kor | |
| 020 | ▼a 9791158392109 ▼g 93000 | |
| 035 | ▼a (KERIS)BIB000015606037 | |
| 040 | ▼a 211009 ▼c 211009 ▼d 211009 | |
| 041 | 1 | ▼a kor ▼h eng |
| 082 | 0 4 | ▼a 005.8 ▼2 23 |
| 085 | ▼a 005.8 ▼2 DDCK | |
| 090 | ▼a 005.8 ▼b 2020z8 | |
| 100 | 1 | ▼a Pruteanu, Adrian |
| 245 | 1 0 | ▼a 침투 본능, 해커의 기술 : ▼b 해킹 공격자의 관점에서 바라보는 웹 애플리케이션 보안 안내서 / ▼d 아드리안 프루티아누 지음 ; ▼e 최용 옮김 |
| 246 | 1 9 | ▼a Becoming the hacker : ▼b the playbook for getting inside the mind of an attacker |
| 260 | ▼a 파주 : ▼b 위키북스, ▼c 2020 | |
| 300 | ▼a xvi, 376 p. : ▼b 삽화 ; ▼c 24 cm | |
| 490 | 1 0 | ▼a 위키북스 해킹 & 보안 시리즈 ; ▼v 022 |
| 500 | ▼a 색인수록 | |
| 700 | 1 | ▼a 최용, ▼e 역 |
| 830 | 0 | ▼a 위키북스 해킹 and 보안 시리즈 ; ▼v 022 |
| 900 | 1 0 | ▼a 프루티아누, 아드리안, ▼e 저 |
| 945 | ▼a KLPA |
소장정보
| No. | 소장처 | 청구기호 | 등록번호 | 도서상태 | 반납예정일 | 예약 | 서비스 |
|---|---|---|---|---|---|---|---|
| No. 1 | 소장처 과학도서관/Sci-Info(1층서고)/ | 청구기호 005.8 2020z8 | 등록번호 121256786 (2회 대출) | 도서상태 대출가능 | 반납예정일 | 예약 | 서비스 |
컨텐츠정보
책소개
독자를 웹 침투 테스트를 수행하는 공격자의 입장에 서게 한다. 웹 애플리케이션의 성능을 테스트하는 일은 흔하지만, 공격을 막는 수비자의 입장에서 끊임없이 변화하는 보안 지형에 대응하는 보안 테스팅은 더 어렵다. 웹 애플리케이션의 잠재적 위협을 완전히 찾아내 방어해 준다고 주장하는 도구는 많지만, 각자의 웹 애플리케이션과 서비스에 정말로 유용한지는 따져볼 필요가 있다. 그러기 위해서는 공격자가 웹 애플리케이션에 어떻게 접근해 방어를 뚫는지 이해해야 한다.
이 책의 전반부에서는 일반적인 취약점을 알아보고 공격에 취약점을 이용하는 법을 배운다. 후반부에서는 실제적인 최신 기법을 배우며, 널리 사용되는 콘텐츠 관리 시스템과 컨테이너 애플리케이션을 대상으로 삼는 공격 시나리오를 연구한다. 《침투 본능, 해커의 기술》은 공격자의 눈으로 웹 애플리케이션 보안을 바라보는 명쾌한 안내서로, 공격과 수비 양측 모두에 도움이 될 것이다.
《침투 본능, 해커의 기술》은 독자를 웹 침투 테스트를 수행하는 공격자의 입장에 서게 한다. 웹 애플리케이션의 성능을 테스트하는 일은 흔하지만, 공격을 막는 수비자의 입장에서 끊임없이 변화하는 보안 지형에 대응하는 보안 테스팅은 더 어렵다.
웹 애플리케이션의 잠재적 위협을 완전히 찾아내 방어해 준다고 주장하는 도구는 많지만, 각자의 웹 애플리케이션과 서비스에 정말로 유용한지는 따져볼 필요가 있다. 그러기 위해서는 공격자가 웹 애플리케이션에 어떻게 접근해 방어를 뚫는지 이해해야 한다.
이 책의 전반부에서는 일반적인 취약점을 알아보고 공격에 취약점을 이용하는 법을 배운다. 후반부에서는 실제적인 최신 기법을 배우며, 널리 사용되는 콘텐츠 관리 시스템과 컨테이너 애플리케이션을 대상으로 삼는 공격 시나리오를 연구한다.
《침투 본능, 해커의 기술》은 공격자의 눈으로 웹 애플리케이션 보안을 바라보는 명쾌한 안내서로, 공격과 수비 양측 모두에 도움이 될 것이다.
★ 이 책에서 다루는 내용 ★
◎ 공격자의 마음가짐
◎ 방어 전략 도입
◎ 웹 애플리케이션에 대한 위협을 분류하고 대응 계획 세우기
◎ 시스템 보안 문제에 대비하기
◎ 워드프레스(WordPress)와 모바일 애플리케이션 보호
◎ 보안성을 높여 원격 실행을 방지하는 도구와 계획
정보제공 :
저자소개
아드리안 프루티아누(지은이)
성공한 보안 컨설턴트 및 연구자로, 공격이 그의 전문 분야다. 수많은 침투 테스트, 레드 팀 훈련, 애플리케이션 보안 평가를 수행하며 10년이 넘는 경력을 쌓았다. 포춘 500대 기업과 일하면서 취약점 식별 및 맬웨어 샘플의 역공학을 통해 그들의 보안 시스템을 강화하는 것을 돕고 있다. 또한 CISSP, OSCE, OSCP, GXPN, GREM 및 다수의 마이크로소프트(Microsoft) 자격증을 보유하고 있다. 그는 마이크로소프트의 공인 강사로 여러 고객에 맞춤 트레이닝을 제공했다. 여가 시간에는 침투 테스팅에 도움을 주거나 온라인 사용자를 안전하게 만드는 새로운 도구와 소프트웨어를 개발하는 것을 좋아한다. 때로는 버그 바운티에 참여하고 취약점 연구와 (책임감 있는) 공개에 시간을 쏟는다.
최용(옮긴이)
한국방송통신대학교에서 컴퓨터과학을 전공하고, 응용 소프트웨어 개발자와 은행 전산실 운영자를 거쳐 소프트웨어 컨설턴트로서 엔터프라이즈 IT 시스템 운영 자동화 솔루션 구축 및 기술 지원 업무를 수행했다. 현재는 IT 전문서의 저술·번역·교정 작업을 이어오고 있으며, 인공지능을 일상 업무와 지식 생산에 도입해 얻은 실무적 효율을 다양한 기술 영역으로 확장하는 데 깊은 관심을 두고 있다. 대표적인 저서로 2025년 세종도서 학술부문에 선정된 《OpenAI, 구글 Gemini, 업스테이지 Solar API를 활용한 실전 LLM 앱 개발》(위키북스)이 있으며, 이를 포함해 인공지능, 파이썬, 보안 등 IT 전반에 걸쳐 다수의 전문서를 집필하고 번역했다. 소프트웨어를 넘어 하드웨어와 결합된 지능형 시스템으로 시야를 넓히고자 서울사이버대학교에서 드론·로봇을 전공하고, 동 대학원 AI융합기술학과 석사 과정에 입학하여 학업을 지속하고 있다.
목차
▣ 01장: 웹 애플리케이션 공격 소개 교전 수칙 __의사소통 __프라이버시 고려 사항 __뒷정리 테스트 도구 __칼리 리눅스(Kali Linux) __칼리 리눅스를 대체할 수 있는 도구 공격 프락시 __버프 스위트(Burp Suite) __ZAP(Zed Attack Proxy) 클라우드 인프라 참고 자료 실습 요약 ▣ 02장: 효율적 탐색 평가 유형 보안 스캐너 __masscan __WhatWeb __Nikto __CMS 스캐너 효율적 무차별 공격 __콘텐츠 탐색(content discovery) __지속적 콘텐츠 탐색 __페이로드 처리 폴리글랏 페이로드 __단일 페이로드를 여러 문맥에서 실행 __코드 난독화 참고 자료 실습 요약 ▣ 03장: 손쉬운 먹잇감 네트워크 평가 __침투 경로 물색하기 __자격증명 추측하기 위블리 셸로 업그레이드하기 뒷정리 참고 자료 요약 ▣ 04장: 고급 무차별 공격 패스워드 스프레이 __링크드인(LinkedIn) 스크레이핑 __FOCA를 사용한 메타데이터 분석 __cluster bomb 공격 공격 원점 숨기기 __토르(Tor) __프락시 캐논(Proxy cannon) 요약 ▣ 05장: 파일 인클루전 공격 RFI(원격 파일 인클루전) LFI(로컬 파일 인클루전) 파일 인클루전으로 원격 코드 실행 그 외의 파일 업로드 관련 문제들 요약 ▣ 06장: 대역 외 익스플로잇 일반적인 시나리오 C2 VM 인스턴스 배포 렛츠 인크립트(Let’s Encrypt) 인증서 설치 INetSim 취약점 존재 여부 확인 비동기 데이터 탈취 데이터 추론하기 요약 ▣ 07장: 테스팅 자동화 버프 확장 __인증 악용 __CO2 플러그인 코드 난독화 버프 컬래보레이터 __퍼블릭 컬래보레이터 서버 __프라이빗 컬래보레이터 서버 요약 ▣ 08장: 나쁜 직렬화 PHP 역직렬화 악용 자바로 구현한 커스텀 프로토콜 공격하기 __프로토콜 분석 __역직렬화 익스플로잇 요약 ▣ 09장: 클라이언트 측 공격의 실제 동일 출처 정책(SOP) 교차 원점 리소스 공유 XSS __반사 XSS __지속 XSS __DOM 기반 XSS CSRF 비프(BeEF) __후킹 __사회공학 공격 __키 로거 __지속성 __자동 익스플로잇 __트래픽 터널링 요약 ▣ 10장: 서버 측 공격의 실제 내부 및 외부 참조 XXE(XML 외부 엔티티) 공격 __XML 폭탄 __요청 위조 __정보 빼내기 __블라인드 XXE __원격 코드 실행 __인터랙티브 셸 요약 ▣ 11장: API를 공격하기 API 통신 프로토콜 __SOAP __REST API 인증 __기본 인증 __API 키 __Bearer 인증 __JWT(JSON 웹 토큰) 버프 JWT 지원 포스트맨(Postman) __설치 __업스트림 프락시 __환경 __컬렉션(Collection) __컬렉션 러너(Collection Runner) 공격 고려 사항 요약 ▣ 12장: CMS 공격하기 애플리케이션 평가 __WPScan __sqlmap __Droopescan __아라크니(Arachni) 웹 스캐너 코드에 백도어 심기 __지속성 얻기 __자격증명 탈취 요약 ▣ 13장: 도커 컨테이너 공격하기 취약한 도커 시나리오 컨테이너에 셸 액세스하기 다른 컨테이너로 피벗 컨테이너 탈출 요약