검색

북큐브서점

마이페이지

로그아웃
  • 북캐시

    0원

  • 적립금

    0원

  • 쿠폰/상품권

    0장

  • 무료이용권

    0장

자동완성 기능이 꺼져 있습니다.

자동완성 끄기

네이버 인증이 완료되었습니다.

이미 북큐브 회원인 경우북큐브 ID로 로그인하시면, SNS계정이 자동으로 연결됩니다.

SNS 계정으로 신규 가입하기SNS계정으로 로그인 시 해당 SNS 계정으로 북큐브에 자동 가입되며 간편하게 로그인이 가능합니다.

비밀번호 찾기

북큐브 고객센터 : 1588-1925

아이디 찾기

북큐브 고객센터 : 1588-1925

아이디 조회 결과

비밀번호 조회 결과

으로
비밀번호를 발송했습니다.

웹 애플리케이션 보안

정찰, 공격, 방어 세 단계로 배우는 웹 애플리케이션 보안의 모든 것

도서 이미지 - 웹 애플리케이션 보안

앤드루 호프먼|최용

한빛미디어 출판|2021.03.04

0.0(0명)

서평(0)

시리즈 가격정보
전자책 정가 27,200원
구매 27,200원+3% 적립
출간정보 2021.03.04|PDF|7.87MB
소득공제 여부 가능 (대여는 제외)

10년소장 안내

10년소장은 장기대여 상품으로 구매 상품과는 달리 다양한 프로모션 및 폭넓은 할인 혜택 제공이 가능합니다.

프로모션이 없는 경우 구매 상품과 가격이 동일하지만 프로모션이 진행되게 되면 큰 폭의 할인 및 적립이 제공됩니다.

close

지원 단말기 : IOS 11.0 이상, Android 4.1 이상, PC Window 7 OS 이상 지원 듣기, 스크랩 (형광펜, 메모), 본문 검색 불가

책소개

웹 애플리케이션 보안 취약점과 해결책을 한 권으로


웹 애플리케이션 보안의 정찰, 공격, 방어를 모두 다루는 실용서다. 웹 애플리케이션에 침투하기 위해 해커가 실제로 사용하는 여러 기법을 소개하고 안전을 확보하는 법을 배운다. 각 장은 OWASP 취약점 중에서도 위험성이 높은 주제의 공격과 방어 양면을 다룬다. 책에서 다루는 기술을 익히면 웹 애플리케이션 코드베이스의 취약 부분을 파악하고 시큐어 코드는 어떻게 작성해야 하는지 이해할 수 있다. 해커로부터 소프트웨어를 보호하는 기법을 익히고 더 안전한 웹 애플리케이션을 구축할 수 있게 될 것이다.

목차

[웹 애플리케이션 보안]

CHAPTER 1 소프트웨어 보안의 역사

__1.1 해킹의 기원

__1.2 에니그마(1930년경)

__1.3 에니그마 코드 크래킹 자동화(1940년경)

__1.4 전화 프리킹(1950년경)

__1.5 프리킹 방지 기술(1960년경)

__1.6 컴퓨터 해킹의 태동(1980년경)

__1.7 월드 와이드 웹의 부흥(2000년경)

__1.8 현대의 해커(2015년 이후)

__1.9 마치며



PART I 정찰



CHAPTER 2 웹 애플리케이션 정찰 개요

__2.1 정보 수집

__2.2 웹 애플리케이션 매핑

__2.3 마치며



CHAPTER 3 현대 웹 애플리케이션의 구조

__3.1 전통 웹 애플리케이션과 현대 웹 애플리케이션 비교

__3.2 REST API

__3.3 자바스크립트 객체 표기법

__3.4 자바스크립트

__3.5 SPA 프레임워크

__3.6 인증 및 권한 부여 시스템

__3.7 웹 서버

__3.8 서버 측 데이터베이스

__3.9 클라이언트 측 데이터 저장소

__3.10 마치며



CHAPTER 4 서브도메인 찾기

__4.1 한 도메인에 여러 애플리케이션이 있는 경우

__4.2 브라우저에 내장된 네트워크 분석 도구

__4.3 공개된 레코드를 이용하기

__4.4 존 전송 공격

__4.5 서브도메인에 대한 브루트 포싱

__4.6 딕셔너리 공격

__4.7 마치며



CHAPTER 5 API 분석

__5.1 엔드포인트 탐색

__5.2 인증 메커니즘

__5.3 엔드포인트 형상

__5.4 마치며



CHAPTER 6 서드파티 의존성 식별

__6.1 클라이언트 측 프레임워크 검출

__6.2 서버 측 프레임워크 검출

__6.3 마치며



CHAPTER 7 애플리케이션 아키텍처 약점 식별

__7.1 보안 아키텍처와 비보안 아키텍처

__7.2 다중 보안 계층

__7.3 바퀴를 재발명할 것인가

__7.4 마치며



CHAPTER 8 1부를 마치며



PART II 공격



CHAPTER 9 웹 애플리케이션 해킹 개요

__9.1 해커의 마음가짐

__9.2 정찰 기법 응용



CHAPTER 10 사이트 간 스크립팅(XSS)

__10.1 XSS 탐색과 익스플로잇

__10.2 저장 XSS

__10.3 반사 XSS

__10.4 DOM 기반 XSS

__10.5 뮤테이션 기반 XSS

__10.6 마치며



CHAPTER 11 사이트 간 요청 위조(CSRF)

__11.1 질의 매개변수 변조

__11.2 GET 페이로드 바꿔치기

__11.3 POST 엔드포인트에 대한 CSRF

__11.4 마치며



CHAPTER 12 XML 외부 엔티티(XXE)

__12.1 직접 XXE

__12.2 간접 XXE

__12.3 마치며



CHAPTER 13 인젝션

__13.1 SQL 인젝션

__13.2 코드 인젝션

__13.3 명령 인젝션

__13.4 마치며



CHAPTER 14 서비스 거부(DoS)

__14.1 정규 표현식 DoS

__14.2 논리 DoS 취약점

__14.3 분산 DoS

__14.4 마치며



CHAPTER 15 서드파티 의존성 익스플로잇

__15.1 통합 방법

__15.2 패키지 관리자

__15.3 CVE 데이터베이스

__15.4 마치며



CHAPTER 16 2부를 마치며



PART III 방어



CHAPTER 17 현대 웹 애플리케이션 보안

__17.1 방어적 소프트웨어 아키텍처

__17.2 완전한 코드 리뷰

__17.3 취약점 탐색

__17.4 취약점 분석

__17.5 취약점 관리

__17.6 회귀 테스팅

__17.7 완화 전략

__17.8 정찰과 공격 기법을 응용



CHAPTER 18 안전한 애플리케이션 아키텍처

__18.1 기능 요구사항 분석

__18.2 인증과 권한 부여

__18.3 개인 식별 정보와 금융 데이터

__18.4 검색

__18.5 마치며



CHAPTER 19 보안 코드 리뷰

__19.1 코드 리뷰 방법

__19.2 전형적인 취약점과 커스텀 로직 버그

__19.3 보안 리뷰 시작 위치

__19.4 시큐어 코딩 안티패턴

__19.5 마치며



CHAPTER 20 취약점 탐색

__20.1 보안 자동화

__20.2 ‘책임 있는 공개’ 프로그램

__20.3 버그 바운티

__20.4 서드파티 침투 테스팅

__20.5 마치며



CHAPTER 21 취약점 관리

__21.1 취약점 재현

__21.2 취약점 심각도 순위

__21.3 공통 취약점 등급 시스템

__21.4 취약점 채점 고도화

__21.5 취약점 분류와 채점 이후

__21.6 마치며



CHAPTER 22 XSS 공격 방어

__22.1 안티 XSS 코딩 모범 사례

__22.2 사용자 입력 정제

__22.3 CSS

__22.4 XSS를 방지하기 위한 콘텐츠 보안 정책

__22.5 마치며



CHAPTER 23 CSRF 공격 방어

__23.1 헤더 검증

__23.2 CSRF 토큰

__23.3 안티 CSRF 코딩 모범 사례

__23.4 마치며



CHAPTER 24 XXE 방어

__24.1 다른 데이터 포맷 평가

__24.2 고도화된 XXE 위험

__24.3 마치며



CHAPTER 25 인젝션 방어

__25.1 SQL 인젝션 완화

__25.2 일반적인 인젝션 방어

__25.3 마치며



CHAPTER 26 DoS 방어

__26.1 정규 표현식 DoS 방어

__26.2 논리 DoS 방어

__26.3 DDoS 방어

__26.4 마치며



CHAPTER 27 서드파티 의존성 보안

__27.1 의존성 트리 평가

__27.2 안전한 통합 기법

__27.3 마치며



CHAPTER 28 3부를 마치며

__28.1 소프트웨어 보안의 역사

__28.2 웹 애플리케이션 정찰

__28.3 공격

__28.4 방어



마지막으로

찾아보기

저자소개

앤드루 호프먼

세일즈포스닷컴의 시니어 보안 엔지니어. 자바스크립트, Node.js, OSS 팀의 보안을 책임진다. DOM과 자바스크립트 보안 취약점의 전문가다. 주요 브라우저 벤더와 함께 일했으며 자바스크립트와 브라우저 DOM의 향후 버전을 설계하는 조직인 TC39와 웹 하이퍼텍스트 애플리케이션 테크놀로지 워킹 그룹(WHATWG)과도 협력했다.

자바스크립트 언어의 보안 기능인 ‘Realm’에 기여했다. Realm은 언어 수준의 네임스페이스 격리를 네이티브 자바스크립트 기능으로 제공한다. 또한 웹에서 사용자 자바스크립트 실행의 위험을 줄이기 위해 상태 비저장 모듈에 관해 연구해왔다.

역자
최용

한국방송통신대학교에서 컴퓨터 과학을 전공하고 2000년대 초부터 IT 업계에서 일했다. 은행의 일괄 작업 운영과 서버 운영 자동화를 돕는 외산 소프트웨어의 기술 지원 업무를 주로 했다.

파이썬 프로그래밍 책을 쓰거나 오픈 소스 번역 활동을 하던 중 『익스플로링 라즈베리 파이』(2018)로 IT 서적 출판 번역에 발을 들였다. 보안 서적으로는 『블록체인으로 구현하는 사이버 보안』(2018), 『침투 본능, 해커의 기술』(이상 위키북스, 2020)을 번역했다.

서평(0)

별점으로 평가해주세요.

서평쓰기

스포일러가 포함되어 있습니다.

0.0

(0명)

ebook 이용안내

  • 구매 후 배송이 필요 없이 다운로드를 통해 이용 가능한 전자책 상품입니다.
  • 전자책 1회 구매로 PC, 스마트폰, 태블릿 PC에서 이용하실 수 있습니다.
    (도서 특성에 따라 이용 가능한 기기의 제한이 있을 수 있습니다.)
  • 책파일 내 판권정보 정가와 북큐브 사이트 정가 표시가 다를 수 있으며, 실제 정가는 사이트에 표시된 정가를 기준으로 합니다.
  • 적립금 지급은 적립금 및 북큐브 상품권으로 결제한 금액을 뺀 나머지가 적립금으로 지급됩니다.
    (적립금 유효기간은 마이페이지>북캐시/적립금/상품권>적립금 적립내역에서 확인 가능합니다.)
  • 저작권 보호를 위해 인쇄/출력 기능은 지원하지 않습니다.
  • 구매하신 전자책은 “마이페이지 > 구매목록” 또는 “북큐브 내서재 프로그램 > 구매목록”에서 다운로드할 수 있습니다.
  • 스마트폰, 태블릿PC의 경우 북큐브 어플리케이션을 설치하여 이용할 수 있습니다. (모바일 페이지 바로가기)
  • PC에서는 PC용 내서재 프로그램을 통해 도서를 이용하실 수 있습니다.
  • ID 계정 당 총 5대의 기기에서 횟수 제한 없이 이용하실 수 있습니다.
TOP