- leedaye

리스트

마이리스트

리뷰/페이퍼

리뷰/페이퍼


방명록




powered by aladin

북마크하기[리뷰]웹 애플리케이션 보안리뷰/페이퍼

댓글(0)

leedaye (이메일 보내기) l 2021-03-20 06:53

https://blog.aladin.co.kr/leedaye/12479296

웹 애플리케이션 보안 - 정찰, 공격, 방어 세 단계로 배우는 웹 애플리케이션 보안의 모든 것
앤드루 호프먼 지음, 최용 옮김 / 한빛미디어 / 2021년 2월
평점 :
장바구니담기



[한줄평]

웹 애플리케이션 보안을 체계적으로 정리 하고 싶은 분을 위 한 책


[목차]

CHAPTER 1 소프트웨어 보안의 역사

 

PART I 정찰

CHAPTER 2 웹 애플리케이션 정찰 개요

CHAPTER 3 현대 웹 애플리케이션의 구조

CHAPTER 4 서브도메인 찾기

CHAPTER 5 API 분석

CHAPTER 6 서드파티 의존성 식별

CHAPTER 7 애플리케이션 아키텍처 약점 식별

CHAPTER 8 1부를 마치며

 

PART II 공격

CHAPTER 9 웹 애플리케이션 해킹 개요

CHAPTER 10 사이트 간 스크립팅(XSS)

CHAPTER 11 사이트 간 요청 위조(CSRF)

CHAPTER 12 XML 외부 엔티티(XXE)

CHAPTER 13 인젝션

CHAPTER 14 서비스 거부(DoS)

CHAPTER 15 서드파티 의존성 익스플로잇

CHAPTER 16 2부를 마치며

 

PART III 방어

CHAPTER 17 현대 웹 애플리케이션 보안

CHAPTER 18 안전한 애플리케이션 아키텍처

CHAPTER 19 보안 코드 리뷰

CHAPTER 20 취약점 탐색

CHAPTER 21 취약점 관리

CHAPTER 22 XSS 공격 방어

CHAPTER 23 CSRF 공격 방어

CHAPTER 24 XXE 방어

CHAPTER 25 인젝션 방어

CHAPTER 26 DoS 방어

CHAPTER 27 서드파티 의존성 보안

CHAPTER 28 3부를 마치며



[주요 내용]

  • 소프트웨어 해킹과 보안의 역사

  • 웹 애플리케이션 정찰

  • 현대 웹 애플리케이션 구조

  • 서브 도메인, API, 서드파티

  • 애플리케이션 아키텍처 약점과 보안

  • 공격과 방어

  • 보안 코드 리뷰

  • 취약점 탐색과 관리


[대상 독자]

  • 소프트웨어 엔지니어와 웹 애플리케이션 개발자

  • 보안 분야로 커리어를 전환하고자 하는 사람

  • 보안 엔지니어, 침투 테스터, 버그 바운티 헌터


[서평]

보안, 해킹 하면 나랑 크게 상관 없는 일이라고 생각을 했는데 내옆의 동료가 랜섬웨어에 감염이 되고, 내가 개발하는 서버가 해킹을 당하고 보니 심각성을 알게 되었다. 지피지기면 백전불태의 마음가짐으로 찾아보니 이책은 공격자의 입장과 보안 담당자의 입장에서 보기에 좋게 해킹 방법과 보안 대책 두가지를 배울수 있다는 점이 가장 마음에 들었다.


이책의 구성은 전체 3부로 구성되어 있다. 처음부터 차례대로 읽는것이 읽어 본 결과 가장 학습효과가 좋을 것이라 생각 되지만 관련분야의 독자라면 아는 부분은 스킴 하고 넘어가도 문제는 없다.



1부를 시작하기 전에 1장에서는 소프트웨어의 보안의 역사와 과거 기술, 도구, 익스플로잇에 대해 간략하게 살펴본다.


1부 정찰에서는 웹 애플리케이션의 구조와 기능을 조사해 문서화하는 여러 방법을 배우게 된다. 최상위 도메인 뿐만 아니라 서브도메인에 존재하는 서버에서 API를 찾는 방법과 엔드포인트가 노출하는 API와 수용하는 HTTP동사를 찾는 방법을 배운다.


서브도메인, API, HTTP 동사의 맵을 만든 다음 각 엔드포인트에서 어떤 요청과 응답 페이로드를 수용하는지 판별하는 방법을 살펴보고, 일반적인 관점에서 접근하면서 공개된 명세를 찾음으로서 페이로드의 구조를 더 빠르게 알아내는 방법을 배울수 있다.


애플리케이션의 API 구조를 매핑하는 방법을 조사한 다음으로는 서드파티 의존성과 관한 논의를 시작하고 자체 개발한 애플리케이션에서 서드파티 통합을 검출하는 여러 방법을 평가한다. SPA 프레임워크, 데이터베이스, 웹 서버를 검출하는 방법을 배우고 다른 의존성의 버전을 식별하는 일반적인 기법을 배울수 있다.


1부를 학습 하면서 아키텍처의 결함으로 기능에 대한 보호가 허술해질 수 있음을 알게 되었고 안전하지 않은 웹 애플리케이션 아키텍처의 몇 가지 공통적 형태를 평가함으로써 급하게 개발된 웹 애플리케[이션이 겪는 위험에 대해 알게 되었다.


2부 공격에서는 코드 분석과 네트워크 요청, 실제 해킹 기법에 대해서 배우게 된다. 익스플로잇을 만들어고 사용하는 법과 익스플로잇으로 데이터를 절취하거나 애플리케이션의 동작을 강제로 바꾸는 것을 배운다. 1부 정찰에서 배운 내용을 해킹 기술을 더해 데모 웹 애플리케이션을 어떻게 해커들이 장악하는지 배우게 된다.


3부 방어에서는 해커의 공격으로 부터 코드를 안전하게 지키는 방법에 대해서 배우게 된다. 1,2부를 발판 삼아 모던한 풀스택 웹 애플리케이션을 구축하는데 필요한 방어 기술을 배울수 있다. 각각의 분석 주안점에서 중대한 보안 위험과 관심사를 논의한 다음 보안 위험을 줄일 수 있는 완화 기법과 대체 구현을 할 수 있는 방법을 배운다.


이책을 다 학습을 하면 웹 애플리케이션 정찰, 해킹 공격 기법, 방어적 완화와 해킹 당할 위험을 줄이는 모범 사례에 대한 지식을 얻을수 있을 것이다. 이것이 해킹,보안의 모든 것은 아니지만 이런 지식의 기초인 소프트웨어 보안의 역사와 해킹의 진화에 대한 배경지식을 배우면서 좀더 견고한 애플리케이션 개발에 도움이 될것이라 생각이든다. 웹 애플리케이션 보안에 관심이 있다면 이 책을 읽어 보는 것을 추천 합니다.




댓글(0) 먼댓글(0) 좋아요(1)
좋아요
북마크하기찜하기 thankstoThanksTo