간편결제, 신용카드 청구할인
인터파크 롯데카드 5% (25,650원)
(최대할인 10만원 / 전월실적 40만원)
북피니언 롯데카드 30% (18,900원)
(최대할인 3만원 / 3만원 이상 결제)
NH쇼핑&인터파크카드 20% (21,600원)
(최대할인 4만원 / 2만원 이상 결제)
Close

웹 개발자가 꼭 알아야 할 Ajax 보안

소득공제

2013년 9월 9일 이후 누적수치입니다.

판매지수 27
?
판매지수란?
사이트의 판매량에 기반하여 판매량 추이를 반영한 인터파크 도서에서의 독립적인 판매 지수입니다. 현재 가장 잘 팔리는 상품에 가중치를 두었기 때문에 실제 누적 판매량과는 다소 차이가 있을 수 있습니다. 판매량 외에도 다양한 가중치로 구성되어 최근의 이슈도서 확인시 유용할 수 있습니다. 해당 지수는 매일 갱신됩니다.
Close
공유하기
정가

30,000원

  • 27,000 (10%할인)

    1,500P (5%적립)

할인혜택
적립혜택
  • I-Point 적립은 출고완료 후 14일 이내 마이페이지에서 적립받기한 경우만 적립됩니다.
  • 추가혜택
    배송정보
    주문수량
    감소 증가
    • 이벤트/기획전

    • 연관도서(83)

    • 사은품(1)

    출판사 서평

    안전하고 견고한 Ajax 웹 애플리케이션을 제작해야 하는 웹 개발자라면 누구나 꼭 알아야 할 Ajax 관련 보안 취약점을 알기 쉽게 설명한 실용 가이드. Ajax 애플리케이션의 잠재적 보안 문제를 제시하고 해결하며, 좀 더 견고하고 안전한 코드를 작성하기 위한 지침을 알려준다. 또 프로토타입, DWR, ASP.NET AJAX 등 잘 알려진 Ajax 프레임워크에서 지원하는 보안 프레임워크와 개발자가 추가로 개발해야 하는 사항도 다룬다.

    수많은 웹사이트가 Ajax 애플리케이션으로 재탄생하고 있다. 전통적인 데스크탑 소프트웨어도 Ajax를 이용한 웹으로 바뀌고 있다. 하지만 보안과 관련된 문제가 종종 간과되고 있는 것이 현실이다. 제대로 설계하지 않고 코딩하지 않으면 전통적인 웹이나 데스크탑 소프트웨어보다 훨씬 더 보안에 취약할 수밖에 없다. Ajax 개발자는 애플리케이션 보안과 관련된 가이드가 필요하다. 지금까지 발견되지 않은 문제에 대해서도 가이드가 필요하다.

    [Ajax 보안]은 Ajax에 대해 갖고 있는 환상의 잘못된 점을 체계적으로 설명하며 지적하고 있다. 마이스페이스(MySpace)의 새미 웜(Samy worm) 같은 실례를 들며 보안 관련 핵심 개념을 소개하고, Ajax 취약점이 어떻게 악용되는지 자세히 설명하고 있다. 더 나아가 .NET, 자바, PHP처럼 널리 쓰이는 웹 프로그래밍 언어와 환경에서 Ajax 애플리케이션을 작성하기 위한 특별하면서도 최신의 권고사항을 알려주고 있다.

    - 이 책에서 다루는 내용

    1. 관련 기능을 세분화해 제공하는 웹 서비스에서 발생하는 문제, 애플리케이션 제어 절차 조작, 프로그램 로직 조작 등의 피해를 최소화하는 법
    2. 자바스크립트 하이재킹, 영속적인 스토리지 강탈, 매시업 악용 등 Ajax 공격 방지법
    3. 단 두 번의 요청으로 백엔드 DB 전체 내용을 추출할 수 있는 Ajax 기반 SQL 인젝션 변종 형태의 공격 등 XSS와 SQL 인젝션 기반 공격을 피하는 방법
    4. 구글 기어와 도조(Dojo)를 이용한 보안 오프라인 Ajax 애플리케이션 개발 방법
    5. 프로토타입(Prototype), DWR, ASP.NET AJAX 같은 Ajax 프레임워크에 보안 개념을 적용하고 프레임워크의 보안상 취약한 부분을 파악하고 보안 코드를 작성하는 방법
    6. 새로 작성하는 Ajax 코드를 좀 더 안전하게 작성하는 방법. 기존 코드에 있는 보안 문제를 감지, 수정하는 방법

    목차

    1장 Ajax 보안 소개
    Ajax 첫걸음
    Ajax란 무엇인가?
    비동기 방식
    자바스크립트
    XML
    DHTML(다이내믹 HTML)
    Ajax 아키텍처로의 패러다임 전환
    무거운 클라이언트 아키텍처
    가벼운 클라이언트 아키텍처
    Ajax: 아키텍처계의 금발 미녀
    보안 관점에서 본 무거운 클라이언트 애플리케이션
    보안 관점에서 본 가벼운 클라이언트 애플리케이션
    보안 관점에서 본 Ajax 애플리케이션
    보안 취약점의 재앙
    복잡도, 투명성 그리고 규모의 확장
    사회학적인 이슈
    Ajax 애플리케이션: 매력적인 전략 목표
    결론

    2장 보이지 않는 도둑
    이브
    HighTechVacations.net 해킹
    쿠폰 시스템 해킹
    클라이언트단 데이터 바인딩 공격
    Ajax API 공격
    보이지 않는 도둑

    3장 웹 공격
    공격의 종류
    리소스 열거
    파라미터 조작
    그 밖의 공격 방법
    크로스 사이트 요청 변조
    피싱
    서비스 거부 공격
    리소스 열거와 파라미터 조작으로부터 보호하라
    보안 소켓 계층
    결론

    4장 Ajax 공격 영역
    공격 영역의 이해
    전통적인 웹 애플리케이션 공격 영역
    폼 입력
    쿠키
    헤더
    숨겨진 폼 입력
    쿼리 파라미터
    업로드 파일
    전통적인 웹 애플리케이션 공격: 성적표
    웹 서비스 공격 영역
    웹 서비스 메소드
    웹 서비스 정의
    Ajax 애플리케이션 공격 영역
    Ajax 애플리케이션 공격 영역의 근원
    해커에게 최고의 먹잇감
    적절한 입력 확인
    블랙리스트와 특별 조치의 문제
    병 대신 병의 징후 다루기
    화이트리스트 입력 검증
    정규 표현
    입력 검증에 대한 숙고
    리치 사용자 입력 검증
    마크업 언어 검증
    이진 파일 검증
    자바스크립트 소스코드 검증
    시리얼라이즈 데이터 검증
    사용자 지원 콘텐츠의 신화
    결론

    5장 Ajax 코드 복잡도
    다양한 언어와 구조
    배열 인덱싱
    스트링 연산
    코드 주석
    다른 사람의 문제
    자바스크립트와 관련해
    인터프리트, 컴파일이 아니야
    약한 타입 체크
    비동기
    경쟁 상태
    데드락과 철학자의 식사 문제
    클라이언트단 동기화
    누구의 조언을 듣느냐가 중요하다
    결론

    6장 Ajax 애플리케이션의 투명성
    블랙박스와 화이트박스
    예: MyLocalWeatherForecast.com을 'Ajax'로
    비교
    API로서의 웹 애플리케이션
    데이터 타입과 메소드 시그너처
    보안과 관련한 특정 오판
    부당한 인증
    기능이 나뉜 서버 API
    자바스크립트에서의 세션 상태 저장
    민감한 정보가 사용자에게 노출될 때
    클라이언트단 코드에 있는 주석과 문서화
    클라이언트단에서 수행하는 데이터 변환
    모호함을 통한 보안
    난독화
    결론

    7장 Ajax 애플리케이션 하이재킹
    Ajax 프레임워크의 하이재킹
    실수로 인한 함수 덮어쓰기
    함수 덮어쓰기의 예
    주문형 Ajax의 하이재킹
    JSON API의 하이재킹
    객체 리터럴의 하이재킹
    JSON 하이재킹이 가능한 이유
    JSON 하이재킹을 막자
    결론

    8장 클라이언트단 스토리지 공격
    클라이언트단 스토리지 시스템 개관
    일반적인 클라이언트단 스토리지 보안
    HTTP 쿠키
    쿠키 접근 제어 규칙
    쿠키의 생존시간
    쿠키 스토리지에 대한 추가 기억사항
    쿠키 스토리지 요약
    플래시 로컬 공유 객체
    플래시 로컬 공유 객체 요약
    DOM 스토리지
    세션 스토리지
    글로벌 스토리지
    DOM 스토리지의 구멍
    DOM 스토리지 보안
    DOM 스토리지 요약
    인터넷 익스플로러 userData
    보안 요약
    일반적인 클라이언트단 스토리지 공격법과 대처법
    크로스 도메인 공격
    크로스 디렉토리 공격
    크로스 포트 공격
    결론

    9장 오프라인 Ajax 애플리케이션
    오프라인 Ajax 애플리케이션
    구글 기어
    자체 보안 기능과 구글 기어의 단점
    작업풀의 이용
    LocalServer 데이터의 노출과 감염
    구글 기어 데이터베이스로의 직접 접근
    SQL 인젝션과 구글 기어
    클라이언트단 SQL 인젝션도 위험한가?
    DOJO.OFFLINE
    키를 안전하게
    데이터를 안전하게
    패스워드의 선택이 멋진 키를 좌우한다
    클라이언트단 입력을 검증하자
    오프라인 애플리케이션에 대한 그 밖의 접근법
    결론

    10장 요청 출처 이슈
    로봇, 스파이더, 브라우저, 크롤러
    안녕, 내 이름은 파이어폭스야. 청크화된 인코딩, PDF도 좋아하고 해변에서 오랫동안 산책하는 것도 좋아해
    요청 출처 불확정성과 자바스크립트
    웹 서버 관점에서 본 Ajax 요청
    당신일까, 당신을 가장한 누구일까
    자바스크립트로 HTTP 요청 보내기
    pre-Ajax 세계에서의 자바스크립트 HTTP 공격
    XMLHttpRequest로 콘텐츠 사냥하기
    XSS/XHR 조합 공격
    방어
    결론

    11장 웹 매시업과 애그리게이터
    머신에서 활용하는 인터넷 데이터
    90년대 초기: 웹의 시대가 오다
    90대년 중반: 머신 웹의 탄생
    2000년대: 머신 웹의 성숙기
    공개적으로 사용 가능한 웹 서비스
    매시업: 웹의 프랑켄슈타인
    ChicagoCrime.org
    HousingMaps.com
    그 밖의 매시업
    매시업 생성
    매시업과 Ajax
    브리지, 프록시, 게이트웨이 - 이런!
    Ajax 프록시 대안
    Ajax 프록시 공격
    HousingMaps.com?
    매시업의 입력 검증
    애그리게이트 사이트
    보안과 신뢰가 떨어지는 상황
    결론

    12장 프리젠테이션 계층에 대한 공격
    프리젠테이션의 콘텐츠 괴롭히기
    프리젠테이션 계층에 대한 공격
    캐스케이딩 스타일시트에서 정보 가져오기
    해킹을 보고 느껴라
    발전된 형태의 해킹을 보고 느껴라
    삽입된 프로그램 로직
    캐스케이딩 스타일시트 요소
    브라우저 캐시 수정
    프리젠테이션 계층 공격 방지
    결론

    13장 자바스크립트 웜
    자바스크립트 웜 개요
    기존의 컴퓨터 바이러스
    자바스크립트 웜
    자바스크립트 웜의 구성
    자바스크립트의 한계
    자바스크립트 웜의 복제
    자바스크립트 웜 실행부
    중간 정리
    사례 연구: 새미 웜
    어떻게 동작하는가
    바이러스 실행부
    새미 웜에 대한 결론
    사례 연구: 야매너 웜(JS/Yamanner-A)
    어떻게 동작하는가
    바이러스 실행부
    야매너 웜에 대한 결론
    실제 자바스크립트 웜에서 배우는 교훈
    결론

    14장 Ajax 애플리케이션 테스트
    블랙 매직
    모든 사람이 웹 브라우저를 이용해 웹 서핑을하는 것은 아니다.
    Catch-22
    보안 테스트 도구 ― 혹은 왜 실제 삶이 할리우드 같지 않은가?
    사이트 목록 생성
    취약점 탐지
    분석 도구: Sprajax
    분석 도구: Paros Proxy
    분석 도구: LAPSE
    분석 도구: WebInspect™
    보안 테스트에 대한 숙고

    15장 Ajax 프레임워크 분석
    ASP.NET
    ASP.NET AJAX(이전에 ATLAS)
    ScriptService
    보안성 비교: UpdatePanel과 ScriptService
    ASP.NET AJAX와 WSDL
    ValidateRequest
    ViewStateUserKey
    ASP.NET 환경설정과 디버깅
    PHP
    Sajax
    Sajax와 크로스 사이트 요청 변조
    Java EE
    DWR
    자바스크립트 프레임워크
    클라이언트단 코드에서 주의할 사항
    Prototype
    결론

    부록 A 새미 웜 소스코드

    부록 B 야매너 웜 소스코드

    저자소개

    빌리 호프만 [저] 신작알림 SMS신청 작가DB보기
    생년월일 -
    출생지 -
    출간도서 0종
    판매수 0권

    HP 보안 연구소의 수석 보안 연구원으로, 웹 애플리케이션의 취약점을 자동으로 발견해주는 기술에 일가견이 있다. 블랙 햇, RSA, 툴콘(Toorcon), 쉬무콘(Shmooncon), 인포섹(Infosec)과 AJAXWorld 같은 컨퍼런스의 단골 발표자이며, FBI에서 초청 강연도 했다.

    브라이언 설리번 [저] 신작알림 SMS신청 작가DB보기
    생년월일 -
    출생지 -
    출간도서 0종
    판매수 0권

    HP 소프트웨어의 애플리케이션 보안 센터 부서의 소프트웨어 개발 매니저로서 일하고 있다. HP에 오기 전, SPI 다이내믹에서 책임연구원으로서 DevInspect를 만들었다. 이 프로그램은 웹 애플리케이션의 보안 취약점을 체계적으로 점검을 하는 데 탁월한 성능을 보이고 있다. 브라이언은 산업 현장의 현안을 AJAXWorld, 블랙 햇, RSA에서 발표하고 있다.

    생년월일 -
    출생지 -
    출간도서 0종
    판매수 0권

    광운대학교 전자통신공학과와 동대학원을 졸업했다. 성경 읽기와 찬양을 좋아한다. 파이썬 프로그래밍과 컨텐츠 관리 시스템(CMS)에 관심을 갖고 있다. 역서로는 The IDA Pro Book (2nd Edition), 구글 앱스 활용과 관리, 유닉스 시스템 프로그래밍 등이 있다.

    생년월일 -
    출생지 -
    출간도서 0종
    판매수 0권

    보안제품의 초기 기획과 설계를 시작으로 제품 상용화 및 유지보수를 포함한 소프트웨어 개발의 전체 프로세스를 진행했다. 현재 드림시큐리티에서 PKI 시스템 개발과 컨설팅을 하고 있다. 보안과 표준 기술에 관심이 많고 늘 새로운 것에 도전하기를 좋아하는 개발자로, 광운대 수학과를 졸업했다.

    이 상품의 시리즈

    에이콘 해킹과 보안 시리즈(총 117권 / 현재구매 가능도서 84권)

    펼쳐보기

    이 책과 내용이 비슷한 책 ? 내용 유사도란? 이 도서가 가진 내용을 분석하여 기준 도서와 얼마나 많이 유사한 콘텐츠를 많이 가지고 있는가에 대한 비율입니다.

      리뷰

      0.0 (총 0건)

      구매 후 리뷰 작성 시, 북피니언 지수 최대 600점

      리뷰쓰기

      기대평

      작성시 유의사항

      평점
      0/200자
      등록하기

      기대평

      0.0

      교환/환불

      교환/환불 방법

      ‘마이페이지 > 취소/반품/교환/환불’ 에서 신청함, 1:1 문의 게시판 또는 고객센터(1577-2555) 이용 가능

      교환/환불 가능 기간

      고객변심은 출고완료 다음날부터 14일 까지만 교환/환불이 가능함

      교환/환불 비용

      고객변심 또는 구매착오의 경우에만 2,500원 택배비를 고객님이 부담함

      교환/환불 불가사유

      반품접수 없이 반송하거나, 우편으로 보낼 경우 상품 확인이 어려워 환불이 불가할 수 있음
      배송된 상품의 분실, 상품포장이 훼손된 경우, 비닐랩핑된 상품의 비닐 개봉시 교환/반품이 불가능함

      소비자 피해보상

      소비자 피해보상의 분쟁처리 등에 관한 사항은 소비자분쟁해결기준(공정거래위원회 고시)에 따라 비해 보상 받을 수 있음
      교환/반품/보증조건 및 품질보증 기준은 소비자기본법에 따른 소비자 분쟁 해결 기준에 따라 피해를 보상 받을 수 있음

      기타

      도매상 및 제작사 사정에 따라 품절/절판 등의 사유로 주문이 취소될 수 있음(이 경우 인터파크도서에서 고객님께 별도로 연락하여 고지함)

      배송안내

      • 인터파크 도서 상품은 택배로 배송되며, 출고완료 1~2일내 상품을 받아 보실 수 있습니다

      • 출고가능 시간이 서로 다른 상품을 함께 주문할 경우 출고가능 시간이 가장 긴 상품을 기준으로 배송됩니다.

      • 군부대, 교도소 등 특정기관은 우체국 택배만 배송가능하여, 인터파크 외 타업체 배송상품인 경우 발송되지 않을 수 있습니다.

      • 배송비

      도서(중고도서 포함) 구매

      2,000원 (1만원이상 구매 시 무료배송)

      음반/DVD/잡지/만화 구매

      2,000원 (2만원이상 구매 시 무료배송)

      도서와 음반/DVD/잡지/만화/
      중고직배송상품을 함께 구매

      2,000원 (1만원이상 구매 시 무료배송)

      업체직접배송상품 구매

      업체별 상이한 배송비 적용