상품 정보
상품 상세설명
『웹 보안 담당자를 위한 취약점 진단 스타트 가이드』는 취약점 진단을 시작하고 싶은 사람들을 위해 보안 전문가인 저자가 취약점 진단을 위한 기초 지식과 기술을 친절하게 해설 한 입문서이다. 이 책에서는 웹 응용프로그램 취약점 진단을 수행하기 위해 필요한 기초 지식, 진단에 필요한 도구, 취약점을 효율적으로 발견하기 위한 진단 절차, 보고서를 작성하는 법 등을 다룬다.
취약점 분석 기술을 습득함으로써 보안을 객관적으로 판단할 수 있는 능력을 갖출 수 있으므로 웹 응용프로그램의 취약점 진단 기술을 공부하고 싶은 학생뿐만 아니라 웹 응용프로그램 개발자, 외주로 시스템을 도입해 검사를 수행해야 하는 담당자, 보안에 관심 있는 관리자와 경영자에게도 많은 도움이 될 것이다.
목차
▣ 01장: 취약점 진단이란
1-1 취약점이란 '취약점을 발견하기 위한 테스트 방법’
- 취약점이란
1-2 이 책의 취약점 진단 대상과 웹사이트 취약점 대응t
- 취약점 진단 대상t
- 플랫폼 취약점 대응t
- 웹 응용프로그램 취약점 대응t
- 이 책의 취약점 진단 대상t
1-3 취약점 진단자에게 필요한 지식과 기술
- 취약점 진단자 스킬 맵(Skill Map)t
- 보안 이외에 취약점 진단자에게 요구되는 지식t
1-4 취약점 진단자에게 요구되는 윤리관t
▣ 02장: 진단에 필요한 HTTP 기본 지식t
2-1 HTTP란
- 웹을 구성하는 3개의 기술t
- HTTP 버전t
2-2 TCP/IP는 프로토콜 집합t
- TCP/IP와 HTTP의 관계t
- TCP/IP의 통신 흐름t
2-3 HTTP와 깊게 연관된 프로토콜 - IP / TCP / DNSt
- 전송을 담당하는 IP
- 신뢰성을 담당하는 TCPt
- 이름 변환을 담당하는 DNSt
- IP / TCP / DNS와 HTTP의 관계t
2-4 URL과 URIt
- URI는 자원 식별자t
- URI 형식t
- 퍼센트 인코딩t
2-5 단순 프로토콜 HTTP
- HTTP는 클라이언트와 서버 간 통신을 수행t
- 통신은 요청(Request)과 응답(Response)의 교환t
- HTTP 메시지 구조t
- 요청 메시지와 응답 메시지 구조t
- 요청 URI로 자원 식별하기t
- 메서드로 서버에 명령 내리기t
- GET과 POSTt
- 결과를 알려주는 HTTP 상태 코드(Status Code)t
- HTTP는 상태를 보존하지 않는 프로토콜t
▣ 03장: 웹 응용프로그램의 취약점t
3-1 웹 프로그램 공격이란
- HTTP에는 필요한 보안 기능이 없다t
- 웹 프로그램 공격t
- 웹 프로그램 공격 패턴t
- 이 책이 대상으로 하는 웹 프로그램 취약점t
3-2 웹 프로그램 취약점t
- SQL 인젝션t
- Command 인젝션t
- CRLF 인젝션t
- 크로스 사이트 스크립트(XSS)t
3-2 웹 프로그램 취약점t
- 인증t
- 인증 우회t
- 로그아웃 기능 미비 또는 미구현t
- 과도한 로그인 시도에 대한 대책 미비 또는 누락t
- 취약한 패스워드 정책t
- 복호화 가능한 패스워드 저장t
- 패스워드 초기화 기능 미비t
3-4 접근제어 기능 미비 또는 누락- 웹 프로그램 취약점t
- 접근제어 기능 미비 또는 누락
- 권한 상승t
- 강제 브라우징t
- 매개변수 조작을 통한 기능 사용t
3-5 세션 관리 미비 - 웹 프로그램 취약점t
- 세션 관리 미비t
- 세션 고정t
- 사이트 간 요청 변조(CSRF)t
- 쿠키에 HttpOnly 속성 미설정t
- 추측 가능한 세션 IDt
3-6 정보 노출 - 웹 프로그램 취약점t
- 정보 노출t
- 매개변수를 통한 정보 노출t
- 캐시로부터의 정보 노출t
- 패스워드 필드의 마스킹 미흡t
- 에러 메시지를 통한 정보 노출t
- 민감 정보 표시t
- HTTPS를 사용할 때 secure 속성 없이 구성된 쿠키정보t
- 민감 정보의 평문 저장t
- 부적절한 HTTPS 사용t
- 불필요한 정보 저장t
3-7 기타 - 웹 프로그램 취약점t
- 경로 탐색t
- 오픈 리다이렉트t
- 원격 파일 참조(RFI)t
- 클릭재킹t
▣ 04장: 취약점 진단 흐름t
4-1 진단 업무의 흐름t
- 진단 업무의 흐름t
4-2 진단 수행 사전 준비t
- 진단 수행 사전 준비t
4-3 취약점 진단 수행 절차t
- 취약점 진단 수행 절차t
- 자동 진단 도구를 통한 진단t
- 수동 진단 보조 도구를 통한 진단t
▣ 05장: 실습 환경 준비
5-1 진단 도구 준비t
- 웹 프로그램 취약점 진단 도구t
- 자바 환경(JDK) 설정t
- OWASP ZAP 설치t
- Burp Suite 설치t
5-2 진단을 위한 웹 브라우저 설정t
- 파이어폭스 설정t
- 프록시 및 인증서 설정t
5-3 실습 환경 설정
- 실습 환경에 대해t
- BadStore 설치t
5-4 실제 진단에서의 주의사항t
- 진단에 필요한 준비t
- 진단 도구 설정을 할 때 주의점t
▣ 06장: 자동 진단 도구를 통한 취약점 진단 수행t
6-1 자동 취약점 도구를 사용한 취약점 진단 수행 절차t
6-2 OWASP ZAP 기본 조작t
- OWASP ZAP 기본 조작t
- 요청과 응답의 기록 및 확인t
6-3 OWASP ZAP에 진단 대상 기록t
- OWASP ZAP에 진단 대상 기록t
6-4 WASP ZAP에서 진단 실행
- 동적 스캔의 실행 및 확인
- 보고서 생성t
- OWASP ZAP이 찾아낼 수 있는 취약점t
▣ 07장: 수동 진단 보조 도구를 통한 취약점 진단 수행t
7-1 수동 진단 보조 도구를 사용한 취약점 진단 실시 절차t
7-2 웹 프로그램 취약점 진단 방법
- 진단 방법과 기준t
7-3 Burp Suite 기본 조작t
- Burp Suite 기본 조작t
- 요청과 응답 기록t
- 범위 등록t
7-4 진단 리스트 작성
- 진단 리스트 개요
- 진단 리스트 작성t
7-5 Burp Suite의 각종 기능 사용 방법t
- 요청 재전송(Repeater)
- 요청 연속 전송(Intruder)t
- 세션 관리 보조 기능t
7-6 Burp Suite를 사용한 취약점 진단t
- 매개변수 값에 탐지 패턴 삽입
- 응답 메시지를 확인t
7-7 Burp Suite를 사용한 취약점 진단t
- 정형적인 탐지 패턴 이외의 취약점 진단t
- Google Hacking Database(GHDB)t
▣ 08장: 진단 보고서 작성t
8-1진단 보고서 기재사항
- 진단 보고서에 대해
- 진단 보고서 기재사항t
8-2 종합 평가 및 개별 취약점 보고
- 종합평가
- 개별 취약점 보고t
8-3 위험 평가t
- 공통 취약점 평가 시스템 CVSS v3t
▣ 09장: 관계 법령 및 가이드라인t
9-1 취약점 진단과 관련된 법률, 규칙, 기준 등
- 취약점 진단에 관련된 법률 및 처벌t
- S/W 신규 취약점 신고 포상제t
- 보안에 관한 기준t
▣ 부록: 실습 환경 구축(Oracle VM VirtualBox)
출판사 서평
『웹 보안 담당자를 위한 취약점 진단 스타트 가이드』는 웹 응용프로그램의 취약점 확인을 하기 위한 해설서다. 웹 응용프로그램은 사용자의 개인정보나 상품 정보와 같은 중요한 정보를 취급한다. 웹 응용프로그램의 개발자가 보안에 자신이 있다고 해도 개발자의 사소한 실수로 인해 웹 응용프로그램의 침입이나 변조가 발생해 개인정보가 노출될 수 있다.이 책에서는 웹 응용프로그램 개발 후 보안을 확인하기 위한 취약점 진단에 대해 다루고 있다. 취약점 진단을 수행할 때 가장 일반적으로 사용되는 OWASP ZAP와 Burp Suite를 사용해 개발자나 보안 담당자가 보안에 문제가 있는지 검토할 수 있다.이 책의 앞부분에서는 웹 응용프로그램이 어떤 방법으로 통신하고, 어떻게 취약점이 발생하는지 등 진단에 필요한 기본적인 지식을 다룬다. 뒷부분에서는 실제로 취약점이 존재하는 BAD STORE라는 웹 응용프로그램을 가상 머신에 설치해 취약점 진단을 실제로 수행해 본다. OWASP ZAP을 사용해 통신 경로 등을 진단하는 방법과 수동으로 검색 기능 등에 매개변수를 삽입해 진단하는 방법 등 다양한 방법을 설명한다. 또한 취약점 진단을 수행할 때 편리한 취약점 체크리스트도 함께 제공한다.
상품 정보 고시
도서명 |
웹 보안 담당자를 위한 취약점 진단 스타트 가이드 |
저자 |
우에노 센 |
출판사 |
위키북스 |
ISBN |
9791158390556 (1158390556) |
쪽수 |
312 |
출간일 |
2017-02-27 |
사이즈 |
188 * 240 * 25 mm /710g |
목차 또는 책소개 |
▣ 01장: 취약점 진단이란 1-1 취약점이란 '취약점을 발견하기 위한 테스트 방법’ - 취약점이란 1-2 이 책의 취약점 진단 대상과 웹사이트 취약점 대응t - 취약점 진단 대상t - 플랫폼 취약점 대응t - 웹 응용프로그램 취약점 대응t - 이 책의 취약점 진단 대상t 1-3 취약점 진단자에게 필요한 지식과 기술 - 취약점 진단자 스킬 맵(Skill Map)t - 보안 이외에 취약점 진단자에게 요구되는 지식t 1-4 취약점 진단자에게 요구되는 윤리관t
▣ 02장: 진단에 필요한 HTTP 기본 지식t 2-1 HTTP란 - 웹을 구성하는 3개의 기술t - HTTP 버전t 2-2 TCP/IP는 프로토콜 집합t - TCP/IP와 HTTP의 관계t - TCP/IP의 통신 흐름t 2-3 HTTP와 깊게 연관된 프로토콜 - IP / TCP / DNSt - 전송을 담당하는 IP - 신뢰성을 담당하는 TCPt - 이름 변환을 담당하는 DNSt - IP / TCP / DNS와 HTTP의 관계t 2-4 URL과 URIt - URI는 자원 식별자t - URI 형식t - 퍼센트 인코딩t 2-5 단순 프로토콜 HTTP - HTTP는 클라이언트와 서버 간 통신을 수행t - 통신은 요청(Request)과 응답(Response)의 교환t - HTTP 메시지 구조t - 요청 메시지와 응답 메시지 구조t - 요청 URI로 자원 식별하기t - 메서드로 서버에 명령 내리기t - GET과 POSTt - 결과를 알려주는 HTTP 상태 코드(Status Code)t - HTTP는 상태를 보존하지 않는 프로토콜t
▣ 03장: 웹 응용프로그램의 취약점t 3-1 웹 프로그램 공격이란 - HTTP에는 필요한 보안 기능이 없다t - 웹 프로그램 공격t - 웹 프로그램 공격 패턴t - 이 책이 대상으로 하는 웹 프로그램 취약점t 3-2 웹 프로그램 취약점t - SQL 인젝션t - Command 인젝션t - CRLF 인젝션t - 크로스 사이트 스크립트(XSS)t 3-2 웹 프로그램 취약점t - 인증t - 인증 우회t - 로그아웃 기능 미비 또는 미구현t - 과도한 로그인 시도에 대한 대책 미비 또는 누락t - 취약한 패스워드 정책t - 복호화 가능한 패스워드 저장t - 패스워드 초기화 기능 미비t 3-4 접근제어 기능 미비 또는 누락- 웹 프로그램 취약점t - 접근제어 기능 미비 또는 누락 - 권한 상승t - 강제 브라우징t - 매개변수 조작을 통한 기능 사용t 3-5 세션 관리 미비 - 웹 프로그램 취약점t - 세션 관리 미비t - 세션 고정t - 사이트 간 요청 변조(CSRF)t - 쿠키에 HttpOnly 속성 미설정t - 추측 가능한 세션 IDt 3-6 정보 노출 - 웹 프로그램 취약점t - 정보 노출t - 매개변수를 통한 정보 노출t - 캐시로부터의 정보 노출t - 패스워드 필드의 마스킹 미흡t - 에러 메시지를 통한 정보 노출t - 민감 정보 표시t - HTTPS를 사용할 때 secure 속성 없이 구성된 쿠키정보t - 민감 정보의 평문 저장t - 부적절한 HTTPS 사용t - 불필요한 정보 저장t 3-7 기타 - 웹 프로그램 취약점t - 경로 탐색t - 오픈 리다이렉트t - 원격 파일 참조(RFI)t - 클릭재킹t
▣ 04장: 취약점 진단 흐름t 4-1 진단 업무의 흐름t - 진단 업무의 흐름t 4-2 진단 수행 사전 준비t - 진단 수행 사전 준비t 4-3 취약점 진단 수행 절차t - 취약점 진단 수행 절차t - 자동 진단 도구를 통한 진단t - 수동 진단 보조 도구를 통한 진단t
▣ 05장: 실습 환경 준비 5-1 진단 도구 준비t - 웹 프로그램 취약점 진단 도구t - 자바 환경(JDK) 설정t - OWASP ZAP 설치t - Burp Suite 설치t 5-2 진단을 위한 웹 브라우저 설정t - 파이어폭스 설정t - 프록시 및 인증서 설정t 5-3 실습 환경 설정 - 실습 환경에 대해t - BadStore 설치t 5-4 실제 진단에서의 주의사항t - 진단에 필요한 준비t - 진단 도구 설정을 할 때 주의점t
▣ 06장: 자동 진단 도구를 통한 취약점 진단 수행t 6-1 자동 취약점 도구를 사용한 취약점 진단 수행 절차t 6-2 OWASP ZAP 기본 조작t - OWASP ZAP 기본 조작t - 요청과 응답의 기록 및 확인t 6-3 OWASP ZAP에 진단 대상 기록t - OWASP ZAP에 진단 대상 기록t 6-4 WASP ZAP에서 진단 실행 - 동적 스캔의 실행 및 확인 - 보고서 생성t - OWASP ZAP이 찾아낼 수 있는 취약점t
▣ 07장: 수동 진단 보조 도구를 통한 취약점 진단 수행t 7-1 수동 진단 보조 도구를 사용한 취약점 진단 실시 절차t 7-2 웹 프로그램 취약점 진단 방법 - 진단 방법과 기준t 7-3 Burp Suite 기본 조작t - Burp Suite 기본 조작t - 요청과 응답 기록t - 범위 등록t 7-4 진단 리스트 작성 - 진단 리스트 개요 - 진단 리스트 작성t 7-5 Burp Suite의 각종 기능 사용 방법t - 요청 재전송(Repeater) - 요청 연속 전송(Intruder)t - 세션 관리 보조 기능t 7-6 Burp Suite를 사용한 취약점 진단t - 매개변수 값에 탐지 패턴 삽입 - 응답 메시지를 확인t 7-7 Burp Suite를 사용한 취약점 진단t - 정형적인 탐지 패턴 이외의 취약점 진단t - Google Hacking Database(GHDB)t
▣ 08장: 진단 보고서 작성t 8-1진단 보고서 기재사항 - 진단 보고서에 대해 - 진단 보고서 기재사항t 8-2 종합 평가 및 개별 취약점 보고 - 종합평가 - 개별 취약점 보고t 8-3 위험 평가t - 공통 취약점 평가 시스템 CVSS v3t
▣ 09장: 관계 법령 및 가이드라인t 9-1 취약점 진단과 관련된 법률, 규칙, 기준 등 - 취약점 진단에 관련된 법률 및 처벌t - S/W 신규 취약점 신고 포상제t - 보안에 관한 기준t
▣ 부록: 실습 환경 구축(Oracle VM VirtualBox) |
상품 정보 고시
도서명 |
상품페이지 참고 |
저자 |
상품페이지 참고 |
출판사 |
상품페이지 참고 |
크기 |
상품페이지 참고 |
쪽수 |
상품페이지 참고 |
제품구성 |
상품페이지 참고 |
출간일 |
상품페이지 참고 |
목차 또는 책소개 |
상품페이지 참고 |
교환/반품
[반품/교환방법]
마이페이지> 주문배송조회 > 반품/교환신청 또는 고객센터 (070-4680-5689)로 문의 바랍니다.
[반품주소]
- 도로명 : (10882) 경기도 파주시 산남로 62-20 (산남동)
- 지번 : (10882) 경기도 파주시 산남동 305-21
[반품/교환가능 기간]
변심반품의 경우 수령 후 14일 이내, 상품의 결함 및 계약내용과 다를 경우 문제점 발견 후 30일 이내
[반품/교환비용]
단순 변심 혹은 구매착오로 인한 반품/교환은 반송료 고객 부담
[반품/교환 불가 사유]
- 소비자의 책임 있는 사유로 상품 등이 손실 또는 훼손된 경우
(단지 확인을 위한 포장 훼손은 제외)
- 소비자의 사용, 포장 개봉에 의해 상품 등의 가치가 현저히 감소한 경우
예) 화장품, 식품, 가전제품(악세서리 포함) 등
- 복제가 가능한 상품 등의 포장을 훼손한 경우
예) 음반/DVD/비디오, 소프트웨어, 만화책, 잡지, 영상 화보집
- 소비자의 요청에 따라 개별적으로 주문 제작되는 상품의 경우 ((1)해외주문도서)
- 디지털 컨텐츠인 eBook, 오디오북 등을 1회 이상 다운로드를 받았을 경우
- 시간의 경과에 의해 재판매가 곤란한 정도로 가치가 현저히 감소한 경우
- 전자상거래 등에서의 소비자보호에 관한 법률이 정하는 소비자 청약철회 제한 내용에 해당되는 경우
* (1) 해외주문도서 : 이용자의 요청에 의한 개인주문상품으로 단순변심 및 착오로 인한 취소/교환/반품 시
‘해외주문 반품/취소 수수료’ 고객 부담 (해외주문 반품/취소 수수료 : ①양서-판매정가의 12%, ②일서-판매정가의 7%를 적용)
[상품 품절]
공급사(출판사) 재고 사정에 의해 품절/지연될 수 있으며, 품절 시 관련 사항에 대해서는 이메일과 문자로 안내드리겠습니다.
[소비자 피해보상, 환불지연에 따른 배상]
- 상품의 불량에 의한 교환, A/S, 환불, 품질보증 및 피해보상 등에 관한 사항은 소비자분쟁해결 기준 (공정거래위원회 고시)에 준하여 처리됩니다.
- 대금 환불 및 환불지연에 따른 배상금 지급 조건, 절차 등은 전자상거래 등에서의 소비자 보호에 관한 법률에 따라 처리함.