침투 본능, 해커의 기술
도서+교보Only(교보배송)을 함께 15,000원 이상 구매 시 무료배송
15,000원 미만 시 2,500원 배송비 부과
20,000원 미만 시 2,500원 배송비 부과
15,000원 미만 시 2,500원 배송비 부과
1Box 기준 : 도서 10권
알림 신청하시면 원하시는 정보를
받아 보실 수 있습니다.
해외주문/바로드림/제휴사주문/업체배송건의 경우 1+1 증정상품이 발송되지 않습니다.
패키지
북카드
키워드 Pick
키워드 Pick 안내
관심 키워드를 주제로 다른 연관 도서를 다양하게 찾아 볼 수 있는 서비스로, 클릭 시 관심 키워드를 주제로 한 다양한 책으로 이동할 수 있습니다.
키워드는 최근 많이 찾는 순으로 정렬됩니다.
웹 애플리케이션의 잠재적 위협을 완전히 찾아내 방어해 준다고 주장하는 도구는 많지만, 각자의 웹 애플리케이션과 서비스에 정말로 유용한지는 따져볼 필요가 있다. 그러기 위해서는 공격자가 웹 애플리케이션에 어떻게 접근해 방어를 뚫는지 이해해야 한다.
이 책의 전반부에서는 일반적인 취약점을 알아보고 공격에 취약점을 이용하는 법을 배운다. 후반부에서는 실제적인 최신 기법을 배우며, 널리 사용되는 콘텐츠 관리 시스템과 컨테이너 애플리케이션을 대상으로 삼는 공격 시나리오를 연구한다.
《침투 본능, 해커의 기술》은 공격자의 눈으로 웹 애플리케이션 보안을 바라보는 명쾌한 안내서로, 공격과 수비 양측 모두에 도움이 될 것이다.
작가정보
저자(글) 아드리안 프루티아누
Adrian Pruteanu
아드리안 프루티아누는 성공한 보안 컨설턴트 및 연구자로, 공격이 그의 전문 분야다. 수많은 침투 테스트, 레드 팀 훈련, 애플리케이션 보안 평가를 수행하며 10년이 넘는 경력을 쌓았다. 포춘 500대 기업과 일하면서 취약점 식별 및 맬웨어 샘플의 역공학을 통해 그들의 보안 시스템을 강화하는 것을 돕고 있다. 또한 CISSP, OSCE, OSCP, GXPN, GREM 및 다수의 마이크로소프트(Microsoft) 자격증을 보유하고 있다. 그는 마이크로소프트의 공인 강사로 여러 고객에 맞춤 트레이닝을 제공했다.
여가 시간에는 침투 테스팅에 도움을 주거나 온라인 사용자를 안전하게 만드는 새로운 도구와 소프트웨어를 개발하는 것을 좋아한다. 때로는 버그 바운티에 참여하고 취약점 연구와 (책임감 있는) 공개에 시간을 쏟는다.
한국방송통신대학교에서 컴퓨터과학을 전공하고, 은행 전산실 운영과 배치 작업 자동화(Workload Automation)를 지원하는 기술자로 일했다. 번역한 책으로는 《블록체인으로 구현하는 사이버 보안》(위키북스 2018), 《솔리디티 프로그래밍 에센셜》(위키북스 2018), 《익스플로링 라즈베리 파이》(위키북스 2018), 《파이썬으로 배우는 데이터 과학 입문과 실습》(위키북스 2018)이 있다.
목차
- ▣ 01장: 웹 애플리케이션 공격 소개
교전 수칙
__의사소통
__프라이버시 고려 사항
__뒷정리
테스트 도구
__칼리 리눅스(Kali Linux)
__칼리 리눅스를 대체할 수 있는 도구
공격 프락시
__버프 스위트(Burp Suite)
__ZAP(Zed Attack Proxy)
클라우드 인프라
참고 자료
실습
요약
▣ 02장: 효율적 탐색
평가 유형
보안 스캐너
__masscan
__WhatWeb
__Nikto
__CMS 스캐너
효율적 무차별 공격
__콘텐츠 탐색(content discovery)
__지속적 콘텐츠 탐색
__페이로드 처리
폴리글랏 페이로드
__단일 페이로드를 여러 문맥에서 실행
__코드 난독화
참고 자료
실습
요약
▣ 03장: 손쉬운 먹잇감
네트워크 평가
__침투 경로 물색하기
__자격증명 추측하기
위블리 셸로 업그레이드하기
뒷정리
참고 자료
요약
▣ 04장: 고급 무차별 공격
패스워드 스프레이
__링크드인(LinkedIn) 스크레이핑
__FOCA를 사용한 메타데이터 분석
__cluster bomb 공격
공격 원점 숨기기
__토르(Tor)
__프락시 캐논(Proxy cannon)
요약
▣ 05장: 파일 인클루전 공격
RFI(원격 파일 인클루전)
LFI(로컬 파일 인클루전)
파일 인클루전으로 원격 코드 실행
그 외의 파일 업로드 관련 문제들
요약
▣ 06장: 대역 외 익스플로잇
일반적인 시나리오
C2 VM 인스턴스 배포
렛츠 인크립트(Let’s Encrypt) 인증서 설치
INetSim
취약점 존재 여부 확인
비동기 데이터 탈취
데이터 추론하기
요약
▣ 07장: 테스팅 자동화
버프 확장
__인증 악용
__CO2 플러그인
코드 난독화
버프 컬래보레이터
__퍼블릭 컬래보레이터 서버
__프라이빗 컬래보레이터 서버
요약
▣ 08장: 나쁜 직렬화
PHP 역직렬화 악용
자바로 구현한 커스텀 프로토콜 공격하기
__프로토콜 분석
__역직렬화 익스플로잇
요약
▣ 09장: 클라이언트 측 공격의 실제
동일 출처 정책(SOP)
교차 원점 리소스 공유
XSS
__반사 XSS
__지속 XSS
__DOM 기반 XSS
CSRF
비프(BeEF)
__후킹
__사회공학 공격
__키 로거
__지속성
__자동 익스플로잇
__트래픽 터널링
요약
▣ 10장: 서버 측 공격의 실제
내부 및 외부 참조
XXE(XML 외부 엔티티) 공격
__XML 폭탄
__요청 위조
__정보 빼내기
__블라인드 XXE
__원격 코드 실행
__인터랙티브 셸
요약
▣ 11장: API를 공격하기
API 통신 프로토콜
__SOAP
__REST
API 인증
__기본 인증
__API 키
__Bearer 인증
__JWT(JSON 웹 토큰)
버프 JWT 지원
포스트맨(Postman)
__설치
__업스트림 프락시
__환경
__컬렉션(Collection)
__컬렉션 러너(Collection Runner)
공격 고려 사항
요약
▣ 12장: CMS 공격하기
애플리케이션 평가
__WPScan
__sqlmap
__Droopescan
__아라크니(Arachni) 웹 스캐너
코드에 백도어 심기
__지속성 얻기
__자격증명 탈취
요약
▣ 13장: 도커 컨테이너 공격하기
취약한 도커 시나리오
컨테이너에 셸 액세스하기
다른 컨테이너로 피벗
컨테이너 탈출
요약
출판사 서평
★ 이 책에서 다루는 내용 ★
◎ 공격자의 마음가짐
◎ 방어 전략 도입
◎ 웹 애플리케이션에 대한 위협을 분류하고 대응 계획 세우기
◎ 시스템 보안 문제에 대비하기
◎ 워드프레스(WordPress)와 모바일 애플리케이션 보호
◎ 보안성을 높여 원격 실행을 방지하는 도구와 계획
기본정보
| ISBN | 9791158392109 ( 1158392109 ) | ||
|---|---|---|---|
| 발행(출시)일자 | 2020년 05월 28일 | ||
| 쪽수 | 392쪽 | ||
| 크기 |
188 * 240
* 27
mm
/ 857 g
|
||
| 총권수 | 1권 | ||
| 시리즈명 |
위키북스 해킹 & 보안 시리즈
|
||
Klover
e교환권은 적립 일로부터 180일 동안 사용 가능합니다.
리워드는 작성 후 다음 날 제공되며, 발송 전 작성 시 발송 완료 후 익일 제공됩니다.
리워드는 리뷰 종류별로 구매한 아이디당 한 상품에 최초 1회 작성 건들에 대해서만 제공됩니다.
판매가 1,000원 미만 도서의 경우 리워드 지급 대상에서 제외됩니다.
일부 타인의 권리를 침해하거나 불편을 끼치는 것을 방지하기 위해 아래에 해당하는 Klover 리뷰는 별도의 통보 없이 삭제될 수 있습니다.
- 도서나 타인에 대해 근거 없이 비방을 하거나 타인의 명예를 훼손할 수 있는 리뷰
- 도서와 무관한 내용의 리뷰
- 인신공격이나 욕설, 비속어, 혐오발언이 개재된 리뷰
- 의성어나 의태어 등 내용의 의미가 없는 리뷰
리뷰는 1인이 중복으로 작성하실 수는 있지만, 평점계산은 가장 최근에 남긴 1건의 리뷰만 반영됩니다.
구매 후 리뷰 작성 시, e교환권 200원 적립
문장수집
e교환권은 적립 일로부터 180일 동안 사용 가능합니다. 리워드는 작성 후 다음 날 제공되며, 발송 전 작성 시 발송 완료 후 익일 제공됩니다.
리워드는 한 상품에 최초 1회만 제공됩니다.
주문취소/반품/절판/품절 시 리워드 대상에서 제외됩니다.
구매 후 리뷰 작성 시, e교환권 100원 적립
