웹 애플리케이션 보안 (정찰, 공격, 방어 세 단계로 배우는 웹 애플리케이션 보안의 모든 것)

웹 애플리케이션 보안 (정찰, 공격, 방어 세 단계로 배우는 웹 애플리케이션 보안의 모든 것)

$30.00
Description
웹 애플리케이션 보안 취약점과 해결책을 한 권으로
웹 애플리케이션 보안의 정찰, 공격, 방어를 모두 다루는 실용서다. 웹 애플리케이션에 침투하기 위해 해커가 실제로 사용하는 여러 기법을 소개하고 안전을 확보하는 법을 배운다. 각 장은 OWASP 취약점 중에서도 위험성이 높은 주제의 공격과 방어 양면을 다룬다. 책에서 다루는 기술을 익히면 웹 애플리케이션 코드베이스의 취약 부분을 파악하고 시큐어 코드는 어떻게 작성해야 하는지 이해할 수 있다. 해커로부터 소프트웨어를 보호하는 기법을 익히고 더 안전한 웹 애플리케이션을 구축할 수 있게 될 것이다.
저자

앤드루호프먼

앤드루호프먼(AndrewHoffman)
세일즈포스닷컴의시니어보안엔지니어.자바스크립트,Node.js,OSS팀의보안을책임진다.DOM과자바스크립트보안취약점의전문가다.주요브라우저벤더와함께일했으며자바스크립트와브라우저DOM의향후버전을설계하는조직인TC39와웹하이퍼텍스트애플리케이션테크놀로지워킹그룹(WHATWG)과도협력했다.
자바스크립트언어의보안기능인‘Realm’에기여했다.Realm은언어수준의네임스페이스격리를네이티브자바스크립트기능으로제공한다.또한웹에서사용자자바스크립트실행의위험을줄이기위해상태비저장모듈에관해연구해왔다.

목차

CHAPTER1소프트웨어보안의역사
__1.1해킹의기원
__1.2에니그마(1930년경)
__1.3에니그마코드크래킹자동화(1940년경)
__1.4전화프리킹(1950년경)
__1.5프리킹방지기술(1960년경)
__1.6컴퓨터해킹의태동(1980년경)
__1.7월드와이드웹의부흥(2000년경)
__1.8현대의해커(2015년이후)
__1.9마치며

PARTI정찰

CHAPTER2웹애플리케이션정찰개요
__2.1정보수집
__2.2웹애플리케이션매핑
__2.3마치며

CHAPTER3현대웹애플리케이션의구조
__3.1전통웹애플리케이션과현대웹애플리케이션비교
__3.2RESTAPI
__3.3자바스크립트객체표기법
__3.4자바스크립트
__3.5SPA프레임워크
__3.6인증및권한부여시스템
__3.7웹서버
__3.8서버측데이터베이스
__3.9클라이언트측데이터저장소
__3.10마치며

CHAPTER4서브도메인찾기
__4.1한도메인에여러애플리케이션이있는경우
__4.2브라우저에내장된네트워크분석도구
__4.3공개된레코드를이용하기
__4.4존전송공격
__4.5서브도메인에대한브루트포싱
__4.6딕셔너리공격
__4.7마치며

CHAPTER5API분석
__5.1엔드포인트탐색
__5.2인증메커니즘
__5.3엔드포인트형상
__5.4마치며

CHAPTER6서드파티의존성식별
__6.1클라이언트측프레임워크검출
__6.2서버측프레임워크검출
__6.3마치며

CHAPTER7애플리케이션아키텍처약점식별
__7.1보안아키텍처와비보안아키텍처
__7.2다중보안계층
__7.3바퀴를재발명할것인가
__7.4마치며

CHAPTER81부를마치며

PARTII공격

CHAPTER9웹애플리케이션해킹개요
__9.1해커의마음가짐
__9.2정찰기법응용

CHAPTER10사이트간스크립팅(XSS)
__10.1XSS탐색과익스플로잇
__10.2저장XSS
__10.3반사XSS
__10.4DOM기반XSS
__10.5뮤테이션기반XSS
__10.6마치며

CHAPTER11사이트간요청위조(CSRF)
__11.1질의매개변수변조
__11.2GET페이로드바꿔치기
__11.3POST엔드포인트에대한CSRF
__11.4마치며

CHAPTER12XML외부엔티티(XXE)
__12.1직접XXE
__12.2간접XXE
__12.3마치며

CHAPTER13인젝션
__13.1SQL인젝션
__13.2코드인젝션
__13.3명령인젝션
__13.4마치며

CHAPTER14서비스거부(DoS)
__14.1정규표현식DoS
__14.2논리DoS취약점
__14.3분산DoS
__14.4마치며

CHAPTER15서드파티의존성익스플로잇
__15.1통합방법
__15.2패키지관리자
__15.3CVE데이터베이스
__15.4마치며

CHAPTER162부를마치며

PARTIII방어

CHAPTER17현대웹애플리케이션보안
__17.1방어적소프트웨어아키텍처
__17.2완전한코드리뷰
__17.3취약점탐색
__17.4취약점분석
__17.5취약점관리
__17.6회귀테스팅
__17.7완화전략
__17.8정찰과공격기법을응용

CHAPTER18안전한애플리케이션아키텍처
__18.1기능요구사항분석
__18.2인증과권한부여
__18.3개인식별정보와금융데이터
__18.4검색
__18.5마치며

CHAPTER19보안코드리뷰
__19.1코드리뷰방법
__19.2전형적인취약점과커스텀로직버그
__19.3보안리뷰시작위치
__19.4시큐어코딩안티패턴
__19.5마치며

CHAPTER20취약점탐색
__20.1보안자동화
__20.2‘책임있는공개’프로그램
__20.3버그바운티
__20.4서드파티침투테스팅
__20.5마치며

CHAPTER21취약점관리
__21.1취약점재현
__21.2취약점심각도순위
__21.3공통취약점등급시스템
__21.4취약점채점고도화
__21.5취약점분류와채점이후
__21.6마치며

CHAPTER22XSS공격방어
__22.1안티XSS코딩모범사례
__22.2사용자입력정제
__22.3CSS
__22.4XSS를방지하기위한콘텐츠보안정책
__22.5마치며

CHAPTER23CSRF공격방어
__23.1헤더검증
__23.2CSRF토큰
__23.3안티CSRF코딩모범사례
__23.4마치며

CHAPTER24XXE방어
__24.1다른데이터포맷평가
__24.2고도화된XXE위험
__24.3마치며

CHAPTER25인젝션방어
__25.1SQL인젝션완화
__25.2일반적인인젝션방어
__25.3마치며

CHAPTER26DoS방어
__26.1정규표현식DoS방어
__26.2논리DoS방어
__26.3DDoS방어
__26.4마치며

CHAPTER27서드파티의존성보안
__27.1의존성트리평가
__27.2안전한통합기법
__27.3마치며

CHAPTER283부를마치며
__28.1소프트웨어보안의역사
__28.2웹애플리케이션정찰
__28.3공격
__28.4방어

마지막으로
찾아보기

출판사 서평

웹애플리케이션보안의정찰,공격,수비를체계적으로정리하고싶은당신을위한책

이책은영화〈이미테이션게임〉주인공인천재수학자앨런튜링의‘에니그마’를주제로첫장을연다.흥미로운보안주제와역사를간략하게살펴보면서부담스럽지않게책을살펴볼수있다.구체적인주제를들어가기전보안용어표를미리정리해두어보안세계에발을내딛는초심자도쉽게읽을수있다.
웹애플리케이션정찰의중요성을짚고난후보안의공격과수비기법들을설명한다.공격과수비의다양한기법과실제코드는웹애플리케이션보안을개선하고싶지만경험이많지않은독자에게실용적이고실제적인도움을준다.특히,OWASP취약점에서도위험성이높은XSS,CSRF,XXE,DoS등을공격과수비양면으로다루어더이해하고적용하기쉽다.각주제는이전장을공부해야하는수준으로배열이되었고,연관성을갖도록해끝까지몰입할수있다는게매력적이다.웹애플리케이션보안결함을해결하고싶고,더안전한웹애플리케이션을만들고싶은독자에게강력히이책을강력히추천한다.

● 소프트웨어해킹과보안의역사
● 웹애플리케이션정찰
● 현대웹애플리케이션구조
● 서브도메인,API,서드파티
● 애플리케이션아키텍처약점과보안
● 공격과방어(XSS,CSRF,XXE,인젝션,DoS)
● 보안코드리뷰
● 취약점탐색과관리