상세정보
미리보기
웹 애플리케이션 보안
- 저자
- 앤드루 호프먼 저/최용 역
- 출판사
- 한빛미디어
- 출판일
- 2021-03-02
- 등록일
- 2021-04-19
- 파일포맷
- PDF
- 파일크기
- 8MB
- 공급사
- YES24
- 지원기기
-
PC
PHONE
TABLET
웹뷰어
프로그램 수동설치
뷰어프로그램 설치 안내
책소개
웹 애플리케이션 보안 취약점과 해결책을 한 권으로웹 애플리케이션 보안의 정찰, 공격, 방어를 모두 다루는 실용서다. 웹 애플리케이션에 침투하기 위해 해커가 실제로 사용하는 여러 기법을 소개하고 안전을 확보하는 법을 배운다. 각 장은 OWASP 취약점 중에서도 위험성이 높은 주제의 공격과 방어 양면을 다룬다. 책에서 다루는 기술을 익히면 웹 애플리케이션 코드베이스의 취약 부분을 파악하고 시큐어 코드는 어떻게 작성해야 하는지 이해할 수 있다. 해커로부터 소프트웨어를 보호하는 기법을 익히고 더 안전한 웹 애플리케이션을 구축할 수 있게 될 것이다.
저자소개
세일즈포스닷컴의 시니어 보안 엔지니어. 자바스크립트, Node.js, OSS 팀의 보안을 책임진다. DOM과 자바스크립트 보안 취약점의 전문가다. 주요 브라우저 벤더와 함께 일했으며 자바스크립트와 브라우저 DOM의 향후 버전을 설계하는 조직인 TC39와 웹 하이퍼텍스트 애플리케이션 테크놀로지 워킹 그룹(WHATWG)과도 협력했다.
자바스크립트 언어의 보안 기능인 ‘Realm’에 기여했다. Realm은 언어 수준의 네임스페이스 격리를 네이티브 자바스크립트 기능으로 제공한다. 또한 웹에서 사용자 자바스크립트 실행의 위험을 줄이기 위해 상태 비저장 모듈에 관해 연구해왔다.
목차
CHAPTER 1 소프트웨어 보안의 역사__1.1 해킹의 기원__1.2 에니그마(1930년경)__1.3 에니그마 코드 크래킹 자동화(1940년경)__1.4 전화 프리킹(1950년경)__1.5 프리킹 방지 기술(1960년경)__1.6 컴퓨터 해킹의 태동(1980년경)__1.7 월드 와이드 웹의 부흥(2000년경)__1.8 현대의 해커(2015년 이후)__1.9 마치며PART I 정찰CHAPTER 2 웹 애플리케이션 정찰 개요__2.1 정보 수집__2.2 웹 애플리케이션 매핑__2.3 마치며CHAPTER 3 현대 웹 애플리케이션의 구조__3.1 전통 웹 애플리케이션과 현대 웹 애플리케이션 비교__3.2 REST API__3.3 자바스크립트 객체 표기법__3.4 자바스크립트__3.5 SPA 프레임워크__3.6 인증 및 권한 부여 시스템__3.7 웹 서버__3.8 서버 측 데이터베이스__3.9 클라이언트 측 데이터 저장소__3.10 마치며CHAPTER 4 서브도메인 찾기__4.1 한 도메인에 여러 애플리케이션이 있는 경우__4.2 브라우저에 내장된 네트워크 분석 도구__4.3 공개된 레코드를 이용하기__4.4 존 전송 공격__4.5 서브도메인에 대한 브루트 포싱__4.6 딕셔너리 공격__4.7 마치며CHAPTER 5 API 분석__5.1 엔드포인트 탐색__5.2 인증 메커니즘__5.3 엔드포인트 형상__5.4 마치며CHAPTER 6 서드파티 의존성 식별__6.1 클라이언트 측 프레임워크 검출__6.2 서버 측 프레임워크 검출__6.3 마치며CHAPTER 7 애플리케이션 아키텍처 약점 식별__7.1 보안 아키텍처와 비보안 아키텍처__7.2 다중 보안 계층__7.3 바퀴를 재발명할 것인가__7.4 마치며CHAPTER 8 1부를 마치며PART II 공격CHAPTER 9 웹 애플리케이션 해킹 개요__9.1 해커의 마음가짐__9.2 정찰 기법 응용CHAPTER 10 사이트 간 스크립팅(XSS)__10.1 XSS 탐색과 익스플로잇__10.2 저장 XSS__10.3 반사 XSS__10.4 DOM 기반 XSS__10.5 뮤테이션 기반 XSS__10.6 마치며CHAPTER 11 사이트 간 요청 위조(CSRF)__11.1 질의 매개변수 변조__11.2 GET 페이로드 바꿔치기__11.3 POST 엔드포인트에 대한 CSRF__11.4 마치며CHAPTER 12 XML 외부 엔티티(XXE)__12.1 직접 XXE__12.2 간접 XXE__12.3 마치며CHAPTER 13 인젝션__13.1 SQL 인젝션__13.2 코드 인젝션__13.3 명령 인젝션__13.4 마치며CHAPTER 14 서비스 거부(DoS)__14.1 정규 표현식 DoS__14.2 논리 DoS 취약점__14.3 분산 DoS__14.4 마치며CHAPTER 15 서드파티 의존성 익스플로잇__15.1 통합 방법__15.2 패키지 관리자__15.3 CVE 데이터베이스__15.4 마치며CHAPTER 16 2부를 마치며PART III 방어CHAPTER 17 현대 웹 애플리케이션 보안__17.1 방어적 소프트웨어 아키텍처__17.2 완전한 코드 리뷰__17.3 취약점 탐색__17.4 취약점 분석__17.5 취약점 관리__17.6 회귀 테스팅__17.7 완화 전략__17.8 정찰과 공격 기법을 응용CHAPTER 18 안전한 애플리케이션 아키텍처__18.1 기능 요구사항 분석__18.2 인증과 권한 부여__18.3 개인 식별 정보와 금융 데이터__18.4 검색__18.5 마치며CHAPTER 19 보안 코드 리뷰__19.1 코드 리뷰 방법__19.2 전형적인 취약점과 커스텀 로직 버그__19.3 보안 리뷰 시작 위치__19.4 시큐어 코딩 안티패턴__19.5 마치며CHAPTER 20 취약점 탐색__20.1 보안 자동화__20.2 ‘책임 있는 공개’ 프로그램__20.3 버그 바운티__20.4 서드파티 침투 테스팅__20.5 마치며CHAPTER 21 취약점 관리__21.1 취약점 재현__21.2 취약점 심각도 순위__21.3 공통 취약점 등급 시스템__21.4 취약점 채점 고도화__21.5 취약점 분류와 채점 이후__21.6 마치며CHAPTER 22 XSS 공격 방어__22.1 안티 XSS 코딩 모범 사례__22.2 사용자 입력 정제__22.3 CSS__22.4 XSS를 방지하기 위한 콘텐츠 보안 정책__22.5 마치며CHAPTER 23 CSRF 공격 방어__23.1 헤더 검증__23.2 CSRF 토큰__23.3 안티 CSRF 코딩 모범 사례__23.4 마치며CHAPTER 24 XXE 방어__24.1 다른 데이터 포맷 평가__24.2 고도화된 XXE 위험__24.3 마치며CHAPTER 25 인젝션 방어__25.1 SQL 인젝션 완화__25.2 일반적인 인젝션 방어__25.3 마치며CHAPTER 26 DoS 방어__26.1 정규 표현식 DoS 방어__26.2 논리 DoS 방어__26.3 DDoS 방어__26.4 마치며CHAPTER 27 서드파티 의존성 보안__27.1 의존성 트리 평가__27.2 안전한 통합 기법__27.3 마치며CHAPTER 28 3부를 마치며__28.1 소프트웨어 보안의 역사__28.2 웹 애플리케이션 정찰__28.3 공격__28.4 방어마지막으로찾아보기
.png){kind=logo}
.jpg)
