소장자료검색

책소개

개념만 나와있어 실전에 응용하기 어려운 책이나 공격 기법은 자세히 다루면서 방어법은 지나치게 간단히 다루는 책에 아쉬움을 느꼈다면, 이 책을 읽음으로써 갈증을 말끔히 해소할 수 있다. 적은 분량임에도 불구하고 매우 실질적인 공격 예제와 최선의 방어법을 담고 있는 책이 바로 『해킹 초보를 위한 웹 공격과 방어』이다. 이 책에서는 가장 위험한 웹 애플리케이션 공격 기법을 철저히 분석함과 동시에 안전한 웹사이트를 구축할 수 있는 방어법도 다룬다. 책에 나온 설명을 따르다 보면 악의적인 공격을 막을 수 있는 최고의 방법을 알게 되고, 컴퓨터와 네트워크를 공격자로부터 안전하게 지킬 수 있는 기술을 익히게 될 것이다.

책은 총 7개 장으로 웹사이트와 브라우저에 대한 주요 공격 유형을 다룬다. 각 장에서는 우선 실제 사이트의 해킹 사례를 소개한 후 공격자가 이용한 취약점을 자세히 알아본다. 각 장을 순서대로 읽을 필요는 없다. 대다수의 공격 기법은 서로 연관돼 있으며, 방어법을 무력화하기 위해 함께 사용되기 때문에 웹 보안의 다양한 측면을 이해하는 게 중요하다. 특히 웹 보안에서는 웹사이트뿐만 아니라 웹 브라우저도 중요하다는 사실을 반드시 알아야 한다.

목차

1장 크로스사이트 스크립팅
HTML 인젝션의 이해
인젝션 가능 지점 찾기
XSS 공격 유형
안전한 문자셋 처리
오동작을 이용한 필터 우회
금지 문자는 사용하지 않는 XSS 공격
브라우저의 특징 고려
기타 고려 사항
방어법
문자셋 명시
문자셋과 인코딩의 정규화
출력 인코딩
제외 목록과 정규식 사용 시 주의점
코드 재사용(다시 구현하지 말자)
자바스크립트 샌드박스
정리

2장 크로스사이트 요청 위조
크로스사이트 요청 위조의 이해
강제 브라우징을 이용한 요청 위조
이미 인증된 사용자 공격
CSRF와 XSS의 위험한 만남
POST를 이용한 공격
다양한 방식으로 접근 가능한 웹
CSRF의 변형: 클릭재킹
방어법
웹 애플리케이션 방어
웹 브라우저 방어
정리

3장 SQL 인젝션
SQL 인젝션의 이해
질의문 깨부수기
데이터베이스 정보 추출
기타 공격 벡터
방어법
입력 검증
질의문 보호
정보 보호
데이터베이스 최신 패치 유지
정리

4장 잘못된 서버 설정과 예측 가능한 웹페이지
잘못된 서버 설정과 예측 가능한 웹페이지로 인한 공격의 이해
안전하지 않은 디자인 패턴 식별
운영체제 공격
서버 공격
방어법
파일 접근 제한
객체 참조 사용
취약한 함수의 차단
권한 확인 의무화
네트워크 연결 제한
정리

5장 인증 방식 우회
인증 공격의 이해
세션 토큰 재활용
브루트포스
스니핑
암호 초기화
크로스사이트 스크립팅
SQL 인젝션
사용자 속이기
방어법
세션 쿠키 보호
사용자 개입
사용자 귀찮게 하기
요청 처리율 제한
기록과 다중 분석
추가적인 인증 기법의 사용
피싱 방어
암호 보호
정리

6장 로직 공격
로직 공격의 이해
작업 흐름의 오용
정책과 실무의 허점 공격
귀납법
서비스 거부
취약한 디자인 패턴
정보 선별
방어법
요구 사항 문서화
광범위한 테스트 케이스 생성
정책 반영
방어적 프로그래밍
클라이언트 검증
정리

7장 신뢰할 수 없는 웹
멀웨어와 브라우저 공격의 이해
멀웨어
브라우저 플러그인의 다면성
도메인 네임 시스템과 출처
방어법
안전한 웹 서핑
브라우저 고립
DNS 보안 확장
정리