- 출간 정보
- 2016.09.09. 전자책 출간
- 2016.11.21. 종이책 출간
- 파일 정보
- 12.1MB
- 379쪽
[리얼타임] 비박스 환경을 활용한 웹 모의해킹 완벽 실습 상세페이지
책 소개
<[리얼타임] 비박스 환경을 활용한 웹 모의해킹 완벽 실습> 이 책은 모의해킹 업무 및 웹 애플리케이션 취약점에 대한 궁금증이 있는 입문자부터 실무자까지 볼 수 있는 책으로, 다음과 같은 내용을 다룬다.
웹 애플리케이션 취약점을 포함한 최신 공격 기법 실습
실습 환경에 맞춰 다양한 공격 기법 사례 및 대응방안 제시
공격을 진행하기 위한 도구(버프스위트)의 활용 방법 제시
비박스(bee-box)는 웹 취약점을 공격할 수 있는 오픈소스 웹 애플리케이션인 bWAPP(buggy Web Application)이 설치된 가상환경으로, 최신 시스템 공격 기법을 포함하고 있고 항목별로 난이도가 조정된다. 이 책은 주요 공격 기법의 난이도별 가이드를 제시하므로 이 책의 내용을 따라 하다 보면 웹 애플리케이션 취약점과 공격 기법을 이해할 수 있다.
저자 프로필
저자 소개
조정원
KB투자증권에서 보안 업무를 담당하며, 보안프로젝트(www.boanproject.com) 운영자로 활동하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 하였고, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스 코드 진단 등 다양한 영역에서 취약점 진단을 수행하였다. 이후 KTH 보안팀에서 모바일 서비스, 클라우드 서비스 보안, 침해사고 대응업무를 하였다.
주요 저서로는 『버프스위트 활용과 웹 모의해킹』 『워드프레스 플러그인 취약점 분석과 모의해킹』(이상 한빛미디어, 2015), 『IT엔지니어의 투잡, 책내기』 『IT엔지니어로 사는 법 1』(이상 비팬북스, 2015), 『안드로이드 모바일 악성코드와 모의해킹 진단』 『칼리 리눅스를 활용한 모의해킹』(이상 에이콘출판사, 2014), 『모의해킹이란 무엇인가』(위키북스, 2014), 『디지털 포렌식의 세계』(인포더북스, 2014), 『크래커 잡는 명탐정 해커』(성안당, 2010) 등이 있으며, 보안프로젝트 멤버들과 함께 다양한 영역에서 활동하고 있다.
이승준
NSHC 싱가포르 지사 소속으로 국내외 보안 트레이닝을 총괄하며, 보안프로젝트에서 활동하고 있다. 미국에서 컴퓨터공학을 공부하다 배울 만한 수업 내용이 없어 3 학년을 마친 후 자퇴하고 프리랜서로 3년 동안 소프트웨어 개발을 하였다. 개발하면서 보안에관심이 많아 침투 테스트 관련 연구 및 공부를 하고 4년 동안 모의해킹 컨설팅을 하였다. 이후 국내에서 트레이닝하며 홍콩 경찰청을 시작으로 이란 경찰청, 르완다, 콜롬비아, 싱가포르 등 여러 나라에서 침투 테스트, 악성코드 분석, 침해대응, 스카다 등에 대한 보안 트레이닝을 하고 있다. 보안 외에도 인공지능, 게임 개발에도 관심이 많아 연구와 공부를 병행하고 있다.
김영선
서울여자대학교에서 정보보안과 멀티미디어를 전공하였으며 NXT 개발 및 비컨(Beacon)을 이용한 IoT 앱 개발 프로젝트 등을 진행하였다. 보안에 관심이 많아 보안에 대한 특강을 접한 것을 시작으로 보안프로젝트 멤버로 활동하고 있다. 오픈소스 도구 분석 및 웹 취약점 진단에 대한 연구를 하였으며, 최근 모의해킹에 대해 공부하고 있다. 현재는 NSHC 보안교육팀 소속 연구원으로 콘텐츠 개발 및 트레이너로 활동 중이다.
최일선
비전공자로 뒤늦게 IT 공부를 시작하였으며 현재 보안프로젝트 연구원으로 활동 중이다. 윈도우 플랫폼 악성코드 취약점 진단 온·오프라인 장기 과정을 맡고 있다. 윈도우 애플리케이션 취약점, 악성코드 분석을 위한 메모리 포렌식 등 전문 강의를 맡고 있다. 보안뿐 아니라 프로그래밍, 데이터 과학, 알고리즘, IoT 등에도 관심이 많다.
이선경
서울여자대학교에서 정보보호를 전공하였으며 현재 SK인포섹 계정관리구축 TF 소속이다. 모의 환경에서 OWASP Top 10을 기준으로 웹 취약점 진단을 공부하였으며 하둡을 이용한 SIEM(Security Identity and Event Management) 파일럿 제작 프로젝트에도 참여하였다. IoT 환경에서 발생 가능한 보안 사고에 대한 대비책을 연구 목적으로 삼고 있으며 파이썬을 활용한 취약점 진단 도구 제작과 머신러닝에도 관심이 많다.
이해인
서울여자대학교에서 정보보호를 전공하였으며 현재 SK인포섹에서 진단업무를 하고 있다. 보안프로젝트 오프라인 스터디 멤버로 1년간 활동하면서 웹 애플리케이션 취약점 진단, 윈도우 악성코드 분석, 네트워크 해킹 방어 등 다양한 프로젝트를 수행하였다. 요즘은 ICS/SCADA 해킹과 램넉스 도구 분석에 관심이 있어 이를 연구 중이다.
목차
chapter 1 개요
1.1 비박스란
1.2 취약점 분류
1.3 점검 환경 구성
Part 1 A1 - 인젝션
chapter 2 HTML 인젝션
2.1 반사(GET)
2.2 반사(POST)
2.3 저장(Blog)
chapter 3 기타 인젝션 공격
3.1 iframe 인젝션
3.2 OS 커맨드 인젝션
3.3 PHP 코드 인젝션
3.4 SSI 인젝션
chapter 4 SQL 인젝션
4.1 GET/Search
4.2 POST/Search
4.3 GET/Select
4.4 POST/Select
4.5 AJAX/JSON/jQuery
4.6 Login Form/Hero
4.7 저장(Blog)
chapter 5 Blind SQL 인젝션
5.1 Boolean Based
5.2 Time Based
5.3 웹 서비스/SOAP
chapter 6 XML/Xpath 인젝션
6.1 Login Form
6.2 Search
Part 2 A2 - 인증 결함과 세션 관리 취약점
chapter 7 인증 결함
7.1 안전하지 않은 로그인 형식
7.2 비밀번호 무차별 대입 공격
7.3 비밀번호 사전 대입 공격
chapter 8 세션 관리 취약점
8.1 관리자 페이지 접근
8.2 URL 주소 조작을 통한 세션 우회
Part 3 A3 - 크로스 사이트 스크립팅
chapter 9 저장된 XSS 취약점
9.1 Blog
9.2 Change Secret
9.3 User-Agent
chapter 10 반사된 XSS 취약점
10.1 GET
10.2 POST
10.3 JSON
10.4 AJAX/JSON
10.5 eval
10.6 HREF
10.7 phpMyAdmin
10.8 PHP_SELF
Part 4 A4 - 취약한 직접 객체 참조
chapter 11 중요 정보 변경
11.1 난이도 하
11.2 대응방안
chapter 12 중요 정보 초기화
12.1 난이도 하
12.2 대응방안
chapter 13 상품 주문 가격 조작
13.1 난이도 하
13.2 대응방안
Part 5 A5 - 보안 설정 오류
chapter 14 Robots 파일 내 중요한 정보 노출
14.1 난이도 하
chapter 15 안전하지 않은 WebDAV 설정
15.1 난이도 하
15.2 대응방안
Part 6 A6 - 민감 데이터 노출
chapter 16 Base64 인코딩 복호화
16.1 난이도 하
16.2 대응방안
chapter 17 HTTP 페이지 내 평문 데이터
17.1 난이도 하
17.2 대응방안
chapter 18 HTML5 웹 저장소
18.1 난이도 하
18.2 대응방안
chapter 19 중요 정보 텍스트 파일 저장
19.1 난이도 하
19.2 난이도 중
19.3 대응방안
chapter 20 하트블리드 취약점
20.1 난이도 하
20.2 대응방안
Part 7 A7 - 기능 수준의 접근 통제 누락
chapter 21 디렉터리 리스팅 취약점
21.1 디렉터리
21.2 파일
chapter 22 파일 삽입
22.1 난이도 하
22.2 대응방안
chapter 23 디바이스 접근 제한
23.1 난이도 하
23.2 대응방안
chapter 24 서버 측 요청 변조
24.1 난이도 하
24.2 대응방안
Part 8 A8 – 크로스 사이트 요청 변조
chapter 25 XML 외부 엔티티 공격
25.1 난이도 하
25.2 대응방안
chapter 26 비밀번호 변경
26.1 난이도 하
26.2 대응방안
chapter 27 비밀번호 힌트 변경
27.1 난이도 하
27.2 대응방안
chapter 28 계좌 이체
28.1 난이도 하
28.2 대응방안
Part 9 A9 - 알려진 취약점이 있는 컴포넌트 사용
chapter 29 PHP CGI 원격 실행 공격
29.1 난이도 하
chapter 30 셸쇼크 취약점
Part 10 A10 - 검증되지 않은 리다이렉트와 포워드
chapter 31 검증되지 않은 리다이렉트와 포워드 (1)
31.1 난이도 하
31.2 대응방안
chapter 32 검증되지 않은 리다이렉트와 포워드 (2)
32.1 난이도 하
32.2 대응방안
리뷰
구매자 별점
5.0 점
점수비율
- 5
- 4
- 3
- 2
- 1
1명이 평가함
리뷰 작성 영역
내가 남긴 별점 0.0
별로예요
그저 그래요
보통이에요
좋아요
최고예요
‘구매자’ 표시는 유료 도서를 결제하고 다운로드하신 경우에만 표시됩니다.
- 무료 도서 (프로모션 등으로 무료로 전환된 도서 포함)
- '구매자'로 표시되지 않습니다.
- 시리즈 도서 내 무료 도서
- '구매자’로 표시되지 않습니다. 하지만 같은 시리즈의 유료 도서를 결제한 뒤 리뷰를 수정하거나 재등록하면 '구매자'로 표시됩니다.
- 영구 삭제
- 도서를 영구 삭제해도 ‘구매자’ 표시는 남아있습니다.
- 결제 취소
- ‘구매자’ 표시가 자동으로 사라집니다.
리뷰 신고하기
Realtime
![[리얼타임] 대용량 서버 구축을 위한 Memcached와 Redis](https://static.ridibooks.com/books/dist/images/book_cover/cover_lazyload.png)
[리얼타임]
이 책을 구매한 분들의 선택
본문 끝 최상단으로 돌아가기
