-
-
프런트엔드 개발을 위한 보안 입문 - 기초 보안 지식부터 XSS, CSRF 등 프런트엔드를 노리는 사이버 공격까지
히라노 마사시 지음, 이춘혁 옮김 / 제이펍 / 2024년 1월
평점 : 
『프런트엔드 개발을 위한 보안 입문』은 프런트엔드에 필요한 보안을 다루는 책으로, 실습 위주와 이해하기 쉬운 설명 덕분에 웹 보안에 입문하기 좋은 책이었습니다.
책은 8장과 부록으로 구성되어 있습니다.
1장과 2장에서는 보안의 필요성과 실습을 위한 환경 설정을 합니다.
3장에서는 HTTP의 기초와 실습을 합니다.
4장에서는 동일 출처와 교차 출처를 배우면서 CORS(교차 출처 간 리소스 공유)에 대해서 배웁니다.
5장에서는 수동적 공격의 대표 기법인 XSS(Cross-Site Scripting)에 대해 학습합니다.
6장에서는 XSS 외의 수동적 공격인 CSRF(Cross Site Reqeust Forgery), 클릭재킹, 오픈 리다이렉트를 살펴봅니다.
7장에서는 로그인에서 중요한 역할을 하는 인증과 인가에 대해 알아봅니다.
8장에서는 자바스크립트 라이브러리의 보안 리스크와 예방책에 대해 알아봅니다.
부록에서는 책에서 다루지 않은 공격 방법과 앞으로의 학습방법, HTTPS 실습, 보안 체크리스트를 제공합니다.
보안 동향은 시대 배경과 공격 수단의 변화에 따라 해마다 변한다.
『프런트엔드 개발을 위한 보안 입문』, 7p
책의 장점으로는 첫째, 이론이 아닌 실습 위주의 구성이었습니다. 보안 관련 경험이 부족한 개발자에게는 실무에 적용할 수 있는 부분이 많을 것 같은 책이었습니다.
둘째, 이해하기 어려운 보안을 그림으로 쉽게 설명합니다. 브라우저 통신의 흐름부터 시작하여 HTTP, HTTPS에 대한 설명, XSS, CSRF 공격 방법에 대한 설명이 흐름을 중심으로 설명하여 유용했습니다.
셋째, 암호화처럼 어려운 부분을 생략하여 프런트엔드 보안에 필요한 내용만 간단하게 다룹니다. 때문에 부담감 없이 편하게 읽을 수 있는 책이었습니다.
이 책을 읽고 추천하는 책으로는 『삐뽀삐뽀 보안 119』 (문광석 지음, 제이펍, 2022)입니다. 파밍과 스미싱처럼 다양한 공격 방법과 비즈니스 스캠, 보이스피싱처럼 우리가 당할 수 있는 실수와 랜섬웨어, 바이러스처럼 사회적으로 큰 문제가 될 수 있는 공격에 대해 보안 전문가인 저자가 쉽게 알려주는 책입니다.
『프런트엔드 개발을 위한 보안 입문』은 HTTP의 기초부터 시작하여 라이브러리 취약점까지 편한 실습, 쉬운 설명, 적은 분량으로 프런트엔드에 필요한 보안을 빠르게 습득할 수 있었던 책이었습니다. 부록으로 제공된 보안 체크리스트(PDF으로도 제공)는 취약성 체크리스트로 웹 애플리케이션을 만들 때 도움이 될 것 같습니다.
추천 독자로는 당연히 프런트엔드 개발자이며, 다음으로는 웹 보안에 관심이 있는 학생이나 개발자에게 추천합니다.
다만 백엔드 보안에 관련해서는 다루지 않으므로 이 책을 추천하기 힘들며, 암호 기술과 네트워크·통신과 같은 어렵지만 보안에서 중요한 부분도 이 책에서 다루지 않습니다. 책에서는 해당 주제에 대한 설명을 생략하는 대신에 『브라우저 해킹 vs 보안』(아쉽게도 절판...)을 추천하니 참고하시길 바랍니다.
해당 서평은 제이펍 출판사로부터 책을 제공받아 작성했습니다.