간편결제, 신용카드 청구할인
삼성카드 6% (33,840원)
(삼성카드 6% 청구할인)
인터파크 롯데카드 5% (34,200원)
(최대할인 10만원 / 전월실적 40만원)
북피니언 롯데카드 30% (25,200원)
(최대할인 3만원 / 3만원 이상 결제)
NH쇼핑&인터파크카드 20% (28,800원)
(최대할인 4만원 / 2만원 이상 결제)
Close

웹 해킹 & 보안 완벽 가이드 : 웹 애플리케이션 보안 취약점을 겨냥한 공격과 방어

소득공제

2013년 9월 9일 이후 누적수치입니다.

판매지수 123
?
판매지수란?
사이트의 판매량에 기반하여 판매량 추이를 반영한 인터파크 도서에서의 독립적인 판매 지수입니다. 현재 가장 잘 팔리는 상품에 가중치를 두었기 때문에 실제 누적 판매량과는 다소 차이가 있을 수 있습니다. 판매량 외에도 다양한 가중치로 구성되어 최근의 이슈도서 확인시 유용할 수 있습니다. 해당 지수는 매일 갱신됩니다.
Close
공유하기
정가

40,000원

  • 36,000 (10%할인)

    2,000P (5%적립)

할인혜택
적립혜택
  • I-Point 적립은 출고완료 후 14일 이내 마이페이지에서 적립받기한 경우만 적립됩니다.
  • 추가혜택
    배송정보
    주문수량
    감소 증가
    • 이벤트/기획전

    • 연관도서(82)

    • 사은품(5)

    출판사 서평

    악의적인 해커들이 웹 애플리케이션을 어떻게 공격하는지, 실제 취약점을 찾기 위해 어떤 방법으로 접근하는지, 웹 애플리케이션에서 존재하는 취약점을 찾고 공격하기 위해 어떤 과정을 거쳐야 하는지를 자세히 설명하는 웹 해킹 실전서이자 보안 방어책을 알려주는 책이다.

    지구를 해킹하자.

    웹 애플리케이션은 인터넷상에 어디든지 존재하지만 안전하지 않다. 은행, 제조업체 등 많은 기업은 자체적으로 수많은 취약한 웹 애플리케이션을 가지고 있으며, 공격자에게 개인 정보 유출이나 부정을 유발하거나, 다른 시스템을 파괴하도록 허용하고 있다. 혁신적인 내용을 담고 있는 이 책은 악의적인 해커들이 웹 애플리케이션을 어떻게 공격하는지 보여준다.

    이 책은 실전서다. 저자들은 보안/해킹 분야의 전문가이고 실제 취약점을 찾기 위해 어떤 방법으로 접근해야 하는지, 웹 애플리케이션에서 존재하는 취약점을 찾고 공격하기 위해 어떤 과정을 거쳐야 하는지 자세히 설명한다. 여러분은 이 책에서 다음과 같은 내용을 배울 수 있을 것이다.

    1. 웹 애플리케이션의 핵심 보안 메커니즘을 공격하고 심지어 가장 안전하게 보이는 애플리케이션에 대해서 특정 권한을 획득하는 방법
    2. 공격 취약 영역 분석을 하고 잠재적으로 공격 가능한 지점을 찾는 방법
    3. HTML, Java, ActiveX, Flash에 구현돼있는 클라이언트 측 통제를 무너뜨리는 방법
    4. 애플리케이션에 존재하는 로직 결함을 발견하는 방법
    5. 공격을 더 빠르고 원하는 결과를 얻기 위해 자동화된 도구를 이용하는 방법
    6. C#, Java, PHP 같은 프로그래밍 언어에서 소스 코드를 분석해 일반적인 취약점을 찾는 방법

    적을 알고 나를 알면 백전백승

    애플리케이션을 보호하기 위해서는 애플리케이션에 존재하는 취약점을 먼저 파악하고 있어야 한다. 여러분이 웹 애플리케이션 설계자나 관리자라면 이 책을 통해 모든 공격을 방어하는 데 필요한 보호 방법을 습득함으로써 웹 애플리케이션을 빈틈없이 대비할 수 있을 것이다. 여러분이 개발자라면 이 책을 통해 웹 애플리케이션을 안전하게 개발하기 위해 어떻게, 어느 부분을 강화해야 하는지 배울 수 있을 것이다.

    - 구성
    전반부는 현재 웹 애플리케이션 보안 현황과 가까운 미래에 웹 애플리케이션 보안이 어떻게 발전될지에 대한 동향을 설명하는 장으로 시작한다. 중반부터는 핵심 주제인 웹 애플리케이션을 공격하는 데 사용하는 기술들을 설명한다. 뒷부분은 이 책에서 소개한 다양한 기술적, 방법적 요소를 포함하고 있는 세 개의 장으로 결론을 맺는다.

    - 소스코드
    원서 웹 사이트인 www.wiley.com/go/webhacker와 한국어판 도서정보 페이지 www.acornpub.co.kr/book/webhacker에서는 이 책에 나오는 소스코드와 각종 보충자료를 찾을 수 있다.
    1. 책에 나오는 스크립트 소스 코드
    2. 책에 나오는 자원들과 도구에 대한 현재 링크 목록
    3. 일반 애플리케이션을 공격하는 데 필요한 작업 체크 리스트
    4. 각 장 확인문제에 대한 해답
    5. 책에서 다룬 많은 취약점 등 해킹 문제에 대한 도전

    목차

    01장 웹 애플리케이션 보안
    웹 애플리케이션의 발전
    웹 애플리케이션 보안
    정리

    02장 핵심 방어 메커니즘
    사용자 접근 처리
    사용자 입력 값 처리
    공격자 핸들링
    애플리케이션 관리
    정리
    확인문제

    03장 웹 애플리케이션 기술
    HTTP 프로토콜
    웹 기능
    인코딩 스키마
    정리
    확인문제

    04장 애플리케이션 지도 작성
    컨텐츠와 기능 수집
    애플리케이션의 분석
    정리
    확인문제

    05 클라이언트 측 통제 우회
    클라이언트를 통한 데이터 전송
    사용자 데이터의 획득: HTML 폼
    사용자 데이터의 획득: thick-client 컴포넌트
    클라이언트 측 데이터의 안전한 처리
    정리
    확인문제

    06장 인증 무력화
    인증 기술
    인증 메커니즘에서 발견되는 설계상의 결함
    사용자 인증 구현상의 결함
    안전한 사용자 인증 처리
    정리
    확인문제

    07장 세션 관리 공격
    사용자의 상태에 대한 유지 필요
    세션 토큰을 만드는 과정에서 발생하는 취약점
    세션 토큰을 처리할 때 발생하는 취약점
    안전한 세션 관리
    정리
    확인문제

    08장 접근 통제 공격
    일반적인 취약점
    접근 통제 공격
    안전한 접근 통제
    정리
    확인문제

    09장 코드 삽입 공격
    인터프리터 언어 안에 공격 코드 삽입
    SQL 내에 공격 코드 삽입
    운영체제 명령의 삽입
    웹 스크립트 언어 안에 공격 코드 삽입
    SOAP 안으로 공격 코드 삽입
    XPath 안으로 공격 코드 삽입
    SMTP 안으로 공격 코드 삽입
    LDAP 안으로 공격 코드 삽입
    정리
    확인문제

    10장 경로 탐색 공격
    일반적인 취약점
    경로 탐색 취약점 검색
    경로 탐색 공격 예방법
    정리
    확인문제

    11장 애플리케이션 로직 공격
    로직 결함의 특징
    현실적으로 존재하는 로직 결함
    논리적 결함의 회피
    정리
    확인문제

    12장 다른 사용자 공격
    크로스사이트 스크립팅
    공격의 리다이렉션
    HTTP 헤더 인젝션
    프레임 인젝션
    요청 위조
    JSON 하이재킹
    세션 고정
    액티브X 컨트롤 공격
    로컬 비밀 공격
    고급 악용 기법
    정리
    확인문제

    13장 맞춤 공격 자동화
    맞춤 자동화의 사용
    유효한 식별자 수집
    유용한 데이터 대량 수집
    일반적인 취약점 퍼징
    공격 종합: 버프 인트루더
    정리
    확인문제

    14장 정보 노출 공격
    에러 메시지 공격
    공개된 정보 수집
    추론 이용
    정보 누설 예방
    정리

    15장 컴파일된 애플리케이션 공격
    버퍼 오버플로우 취약점
    정수 취약점
    포맷 스트링 취약점
    정리
    확인문제

    16장 애플리케이션 아키텍처 공격
    계층적 아키텍처
    공유 호스팅과 애플리케이션 서비스 공급자
    정리
    확인문제

    17장 웹서버 공격
    웹서버 설정 취약점
    웹서버 소프트웨어의 취약점
    정리
    확인문제

    18장 소스코드 내의 취약점 발견
    코드 검토에 대한 접근 방식
    일반적인 취약점 시그니쳐
    자바 플랫폼
    ASP.NET
    PHP

    자바스크립트
    데이터베이스 코드 컴포넌트
    코드 브라우징에 대한 도구
    정리
    확인문제

    19장 웹 애플리케이션 해커의 도구모음
    웹 브라우저
    통합된 검사 슈트
    취약점 스캐너
    그 외의 도구
    정리

    20장 웹 애플리케이션 해커의 공격 방법론
    일반적인 가이드라인
    1. 애플리케이션 컨텐츠 맵 작성
    2. 애플리케이션 분석
    3. 클라이언트 측 통제 검사
    4. 인증 메커니즘 검사
    5. 세션 관리 메커니즘 검사
    6. 접근 통제 검사
    7. 입력 기반 취약점에 대한 검사
    8. 특정 기능에 대한 입력 값 취약점 검사
    9. 로직 결함에 대한 검사
    10. 공유된 호스팅 환경에 대한 취약점 검사
    11. 웹서버 취약점 검사
    12. 그 외 다양한 검사

    저자소개

    대피드 스투타드(Dafydd Stuttard) [저] 신작알림 SMS신청 작가DB보기
    생년월일 -
    출생지 -
    출간도서 0종
    판매수 0권

    독립적인 보안 컨설턴트, 저술가, 소프트웨어 개발자다. 10년 넘게 보안 컨설턴트로 일하고 있으며, 컴파일 소프트웨어에 대한 취약점 연구와 웹 애플리케이션의 침투 테스트를 전문으로 한다. 금융권, 소매업체, 대기업을 대상으로 웹 애플리케이션의 보안을 향상시키기 위해 일하며, 제조업체나 정부기관에는 컴파일된 소프트웨어에 대한 보안을 향상시키기 위해 보안 컨설팅을 제공한다. 프로그래밍 언어에 능숙하고 보안과 관련된 소프트웨어 개발에 흥미가 많다. 블랙햇 보안 컨퍼런스에서 교육 과정을 개발하고 제공하며, 'Port Swigger'에서 유명한 웹 애플리케이

    펼쳐보기
    마커스 핀토(Marcus Pinto) [저] 신작알림 SMS신청 작가DB보기
    생년월일 -
    출생지 -
    출간도서 0종
    판매수 0권

    인터넷 보안 공격과 방어에 대한 컨설팅과 교육을 제공하는 MDSec의 공동 설립자다. 금융권, 소매업체, 대기업을 대상으로 지속적으로 웹 애플리케이션 보안을 향상시키기 위해 보안 컨설팅을 제공한다. 11년 동안의 산업에 대한 컨설턴트와 실무자 관점을 고루 갖고 있으며, 이를 바탕으로 애플리케이션 보안의 기술적 측면에서 매우 심도 있는 지식과 경험을 쌓았다. 공격 기반의 보안 평가와 침투 테스트 전문가다. 금융 서비스 산업에 구현돼 있는 대규모 웹 애플리케이션에 대해서도 경험과 지식이 풍부하다. 2005년, 블랙햇 이후로 데이터베이스와 웹 애플리케이션

    펼쳐보기
    생년월일 -
    출생지 -
    출간도서 0종
    판매수 0권

    서울대학교를 졸업하고 Arthur Andersen의 한국법인(현 안진회계법인)에서 IT 위험관리와 IT 감사를 담당했으며, 국내 정보보안 컨설팅 명가인 A3 Security Consulting에서 정보보안 컨설팅을 담당했다. 특히, A3 Security Consulting에서 모의해킹을 비롯한 기술진단에 주력했던 CR@K 팀을 양성했다. 현재는 국제기구에서 일하고 있다. CISSP, CISA, CFE의 자격증을 보유하고 있다.

    생년월일 -
    출생지 -
    출간도서 0종
    판매수 0권

    현재 세계적인 글로벌 컨설팅 펌인 Deloitte에서 사이버 시큐리티(Cyber Security) 담당 매니저로 일하고 있으며, 주 업무는 사이버 시큐리티, 리스크 관리(Risk Management), 포렌식(Forensics)이다. 130여 개에 달하는 클라이언트를 대상으로 모의해킹과 보안 컨설팅을 진행했으며, 대기업과 금융업체, 학교 등에서 정보보안 관련 강의를 했다. 숭실대학교 컴퓨터학부를 졸업하고 고려대학교 정보보호대학원 석사를 수료했으며, A3 시큐리티 컨설팅 (Security Consulting)과 SK 인포섹에서 보안 컨설턴트로 일한 경험이 있다. 제1회 해킹방어대회에서 대상을 수상해 정

    펼쳐보기
    생년월일 -
    출생지 -
    출간도서 0종
    판매수 0권

    De La Salle University에서 영어교육학을 전공했으며, 2001년도에 개최한 제1회 여성해킹대회 본선에 진출하기도 했다. 국내 유수 보안 그룹에서 활약을 했으며, IT 분야에서 약 7년간의 경력을 쌓았다. 역서로 [웹 해킹 & 보안 완벽 가이드](에이콘출판사, 2008), [와이어샤크를 활용한 실전 패킷 분석](에이콘출판사, 2007)이 있다.

    생년월일 -
    출생지 -
    출간도서 0종
    판매수 0권

    서울여자대학교 컴퓨터공학과를 졸업하고, 성균관대학교 정보통신대학원에서 정보보호 석사를 졸업했다. A3 Security Consulting과 SK인포섹에서 금융권, 공공기관, 대기업 등 여러 기업을 대상으로 정보보호 컨설팅의 모의해킹 업무를 수행했으며, NCSoft 해외운영보안팀을 거쳐 현재 코스콤 정보보호센터(금융ISAC)에서 금융사 대상 취약점 점검 업무를 진행 중이다. CISA, ITIL, ISO27001 선임 심사원 자격증을 보유하고 있다. 역서로 [웹 해킹 & 보안 완벽 가이드](에이콘출판사, 2008)가 있다.

    이 상품의 시리즈

    에이콘 해킹과 보안 시리즈(총 117권 / 현재구매 가능도서 81권)

    펼쳐보기

    이 책과 내용이 비슷한 책 ? 내용 유사도란? 이 도서가 가진 내용을 분석하여 기준 도서와 얼마나 많이 유사한 콘텐츠를 많이 가지고 있는가에 대한 비율입니다.

      리뷰

      0.0 (총 0건)

      구매 후 리뷰 작성 시, 북피니언 지수 최대 600점

      리뷰쓰기

      기대평

      작성시 유의사항

      평점
      0/200자
      등록하기

      기대평

      10.0

      교환/환불

      교환/환불 방법

      ‘마이페이지 > 취소/반품/교환/환불’ 에서 신청함, 1:1 문의 게시판 또는 고객센터(1577-2555) 이용 가능

      교환/환불 가능 기간

      고객변심은 출고완료 다음날부터 14일 까지만 교환/환불이 가능함

      교환/환불 비용

      고객변심 또는 구매착오의 경우에만 2,500원 택배비를 고객님이 부담함

      교환/환불 불가사유

      반품접수 없이 반송하거나, 우편으로 보낼 경우 상품 확인이 어려워 환불이 불가할 수 있음
      배송된 상품의 분실, 상품포장이 훼손된 경우, 비닐랩핑된 상품의 비닐 개봉시 교환/반품이 불가능함

      소비자 피해보상

      소비자 피해보상의 분쟁처리 등에 관한 사항은 소비자분쟁해결기준(공정거래위원회 고시)에 따라 비해 보상 받을 수 있음
      교환/반품/보증조건 및 품질보증 기준은 소비자기본법에 따른 소비자 분쟁 해결 기준에 따라 피해를 보상 받을 수 있음

      기타

      도매상 및 제작사 사정에 따라 품절/절판 등의 사유로 주문이 취소될 수 있음(이 경우 인터파크도서에서 고객님께 별도로 연락하여 고지함)

      배송안내

      • 인터파크 도서 상품은 택배로 배송되며, 출고완료 1~2일내 상품을 받아 보실 수 있습니다

      • 출고가능 시간이 서로 다른 상품을 함께 주문할 경우 출고가능 시간이 가장 긴 상품을 기준으로 배송됩니다.

      • 군부대, 교도소 등 특정기관은 우체국 택배만 배송가능하여, 인터파크 외 타업체 배송상품인 경우 발송되지 않을 수 있습니다.

      • 배송비

      도서(중고도서 포함) 구매

      2,000원 (1만원이상 구매 시 무료배송)

      음반/DVD/잡지/만화 구매

      2,000원 (2만원이상 구매 시 무료배송)

      도서와 음반/DVD/잡지/만화/
      중고직배송상품을 함께 구매

      2,000원 (1만원이상 구매 시 무료배송)

      업체직접배송상품 구매

      업체별 상이한 배송비 적용