취약점 진단 스타트 가이드

취약점 진단 스타트 가이드

$25.00
Description
『웹 보안 담당자를 위한 취약점 진단 스타트 가이드』는 취약점 진단을 시작하고 싶은 사람들을 위해 보안 전문가인 저자가 취약점 진단을 위한 기초 지식과 기술을 친절하게 해설 한 입문서이다. 이 책에서는 웹 응용프로그램 취약점 진단을 수행하기 위해 필요한 기초 지식, 진단에 필요한 도구, 취약점을 효율적으로 발견하기 위한 진단 절차, 보고서를 작성하는 법 등을 다룬다.

취약점 분석 기술을 습득함으로써 보안을 객관적으로 판단할 수 있는 능력을 갖출 수 있으므로 웹 응용프로그램의 취약점 진단 기술을 공부하고 싶은 학생뿐만 아니라 웹 응용프로그램 개발자, 외주로 시스템을 도입해 검사를 수행해야 하는 담당자, 보안에 관심 있는 관리자와 경영자에게도 많은 도움이 될 것이다.
저자

우에노센

저자우에노센은주식회사트라이코더의대표이사.나라첨단과학기술대학원에서정보보안을전공하고e커머스개발벤처로도쿄증권거래소마더스상장을경험하고2006년주식회사트라이코드를설립.기업과관공서등에사이버보안교육및훈련,플랫폼/웹응용프로그램취약점진단서비스를제공.OWASPJapan챕터리더,정보보안전문지'ScanNetSecurity'편집장,Hardening프로젝트실행위원,JNSAISOG-JWG1리더,SECCON실행위원,보안캠프주임강사,독립행정법인정보처리추진기구보안센터연구원등을역임.

목차

▣01장:취약점진단이란
1-1취약점이란'취약점을발견하기위한테스트방법’
-취약점이란
1-2이책의취약점진단대상과웹사이트취약점대응
-취약점진단대상
-플랫폼취약점대응
-웹응용프로그램취약점대응
-이책의취약점진단대상
1-3취약점진단자에게필요한지식과기술
-취약점진단자스킬맵(SkillMap)
-보안이외에취약점진단자에게요구되는지식
1-4취약점진단자에게요구되는윤리관

▣02장:진단에필요한HTTP기본지식
2-1HTTP란
-웹을구성하는3개의기술
-HTTP버전
2-2TCP/IP는프로토콜집합
-TCP/IP와HTTP의관계
-TCP/IP의통신흐름
2-3HTTP와깊게연관된프로토콜-IP/TCP/DNS
-전송을담당하는IP
-신뢰성을담당하는TCP
-이름변환을담당하는DNS
-IP/TCP/DNS와HTTP의관계
2-4URL과URI
-URI는자원식별자
-URI형식
-퍼센트인코딩
2-5단순프로토콜HTTP
-HTTP는클라이언트와서버간통신을수행
-통신은요청(Request)과응답(Response)의교환
-HTTP메시지구조
-요청메시지와응답메시지구조
-요청URI로자원식별하기
-메서드로서버에명령내리기
-GET과POST
-결과를알려주는HTTP상태코드(StatusCode)
-HTTP는상태를보존하지않는프로토콜

▣03장:웹응용프로그램의취약점
3-1웹프로그램공격이란
-HTTP에는필요한보안기능이없다
-웹프로그램공격
-웹프로그램공격패턴
-이책이대상으로하는웹프로그램취약점
3-2웹프로그램취약점
-SQL인젝션
-Command인젝션
-CRLF인젝션
-크로스사이트스크립트(XSS)
3-2웹프로그램취약점
-인증
-인증우회
-로그아웃기능미비또는미구현
-과도한로그인시도에대한대책미비또는누락
-취약한패스워드정책
-복호화가능한패스워드저장
-패스워드초기화기능미비
3-4접근제어기능미비또는누락-웹프로그램취약점
-접근제어기능미비또는누락
-권한상승
-강제브라우징
-매개변수조작을통한기능사용
3-5세션관리미비-웹프로그램취약점
-세션관리미비
-세션고정
-사이트간요청변조(CSRF)
-쿠키에HttpOnly속성미설정
-추측가능한세션ID
3-6정보노출-웹프로그램취약점
-정보노출
-매개변수를통한정보노출
-캐시로부터의정보노출
-패스워드필드의마스킹미흡
-에러메시지를통한정보노출
-민감정보표시
-HTTPS를사용할때secure속성없이구성된쿠키정보
-민감정보의평문저장
-부적절한HTTPS사용
-불필요한정보저장
3-7기타-웹프로그램취약점
-경로탐색
-오픈리다이렉트
-원격파일참조(RFI)
-클릭재킹

▣04장:취약점진단흐름
4-1진단업무의흐름
-진단업무의흐름
4-2진단수행사전준비
-진단수행사전준비
4-3취약점진단수행절차
-취약점진단수행절차
-자동진단도구를통한진단
-수동진단보조도구를통한진단

▣05장:실습환경준비
5-1진단도구준비
-웹프로그램취약점진단도구
-자바환경(JDK)설정
-OWASPZAP설치
-BurpSuite설치
5-2진단을위한웹브라우저설정
-파이어폭스설정
-프록시및인증서설정
5-3실습환경설정
-실습환경에대해
-BadStore설치
5-4실제진단에서의주의사항
-진단에필요한준비
-진단도구설정을할때주의점

▣06장:자동진단도구를통한취약점진단수행
6-1자동취약점도구를사용한취약점진단수행절차
6-2OWASPZAP기본조작
-OWASPZAP기본조작
-요청과응답의기록및확인
6-3OWASPZAP에진단대상기록
-OWASPZAP에진단대상기록
6-4WASPZAP에서진단실행
-동적스캔의실행및확인
-보고서생성
-OWASPZAP이찾아낼수있는취약점

▣07장:수동진단보조도구를통한취약점진단수행
7-1수동진단보조도구를사용한취약점진단실시절차
7-2웹프로그램취약점진단방법
-진단방법과기준
7-3BurpSuite기본조작
-BurpSuite기본조작
-요청과응답기록
-범위등록
7-4진단리스트작성
-진단리스트개요
-진단리스트작성
7-5BurpSuite의각종기능사용방법
-요청재전송(Repeater)
-요청연속전송(Intruder)
-세션관리보조기능
7-6BurpSuite를사용한취약점진단
-매개변수값에탐지패턴삽입
-응답메시지를확인
7-7BurpSuite를사용한취약점진단
-정형적인탐지패턴이외의취약점진단
-GoogleHackingDatabase(GHDB)

▣08장:진단보고서작성
8-1진단보고서기재사항
-진단보고서에대해
-진단보고서기재사항
8-2종합평가및개별취약점보고
-종합평가
-개별취약점보고
8-3위험평가
-공통취약점평가시스템CVSSv3

▣09장:관계법령및가이드라인
9-1취약점진단과관련된법률,규칙,기준등
-취약점진단에관련된법률및처벌
-S/W신규취약점신고포상제
-보안에관한기준

▣부록:실습환경구축(OracleVMVirtualBox)

출판사 서평

『웹보안담당자를위한취약점진단스타트가이드』는웹응용프로그램의취약점확인을하기위한해설서다.웹응용프로그램은사용자의개인정보나상품정보와같은중요한정보를취급한다.웹응용프로그램의개발자가보안에자신이있다고해도개발자의사소한실수로인해웹응용프로그램의침입이나변조가발생해개인정보가노출될수있다.

이책에서는웹응용프로그램개발후보안을확인하기위한취약점진단에대해다루고있다.취약점진단을수행할때가장일반적으로사용되는OWASPZAP와BurpSuite를사용해개발자나보안담당자가보안에문제가있는지검토할수있다.

이책의앞부분에서는웹응용프로그램이어떤방법으로통신하고,어떻게취약점이발생하는지등진단에필요한기본적인지식을다룬다.뒷부분에서는실제로취약점이존재하는BADSTORE라는웹응용프로그램을가상머신에설치해취약점진단을실제로수행해본다.OWASPZAP을사용해통신경로등을진단하는방법과수동으로검색기능등에매개변수를삽입해진단하는방법등다양한방법을설명한다.또한취약점진단을수행할때편리한취약점체크리스트도함께제공한다.