이 책의 이벤트

해외주문/바로드림/제휴사주문/업체배송건의 경우 1+1 증정상품이 발송되지 않습니다.

상반기 베스트/추천도서 확인하고 머그&노트 사은품도!

2022.06.24 ~ 2022.07.31
새로 출간된 O'Reilly 번역서를 확인해보세요!

2019.06.14 ~ 2022.12.31

MANNING, O'REILLY, PACKT, WILE..

2016.03.07 ~ 2022.12.31

상품상세정보
ISBN	9791162243930(1162243937)
쪽수	372쪽
크기	183 * 237 * 18 mm /685g 판형알림
이 책의 원서/번역서	Web Application Security / Andrew Hoffman

책소개

이 책이 속한 분야

이 책의 주제어

웹 애플리케이션 보안 취약점과 해결책을 한 권으로

웹 애플리케이션 보안의 정찰, 공격, 방어를 모두 다루는 실용서다. 웹 애플리케이션에 침투하기 위해 해커가 실제로 사용하는 여러 기법을 소개하고 안전을 확보하는 법을 배운다. 각 장은 OWASP 취약점 중에서도 위험성이 높은 주제의 공격과 방어 양면을 다룬다. 책에서 다루는 기술을 익히면 웹 애플리케이션 코드베이스의 취약 부분을 파악하고 시큐어 코드는 어떻게 작성해야 하는지 이해할 수 있다. 해커로부터 소프트웨어를 보호하는 기법을 익히고 더 안전한 웹 애플리케이션을 구축할 수 있게 될 것이다.

CHAPTER 1 소프트웨어 보안의 역사
__1.1 해킹의 기원
__1.2 에니그마(1930년경)
__1.3 에니그마 코드 크래킹 자동화(1940년경)
__1.4 전화 프리킹(1950년경)
__1.5 프리킹 방지 기술(1960년경)
__1.6 컴퓨터 해킹의 태동(1980년경)
__1.7 월드 와이드 웹의 부흥(2000년경)
__1.8 현대의 해커(2015년 이후)
__1.9 마치며

PART I 정찰

CHAPTER 2 웹 애플리케이션 정찰 개요
__2.1 정보 수집
__2.2 웹 애플리케이션 매핑
__2.3 마치며

CHAPTER 3 현대 웹 애플리케이션의 구조
__3.1 전통 웹 애플리케이션과 현대 웹 애플리케이션 비교
__3.2 REST API
__3.3 자바스크립트 객체 표기법
__3.4 자바스크립트
__3.5 SPA 프레임워크
__3.6 인증 및 권한 부여 시스템
__3.7 웹 서버
__3.8 서버 측 데이터베이스
__3.9 클라이언트 측 데이터 저장소
__3.10 마치며

CHAPTER 4 서브도메인 찾기
__4.1 한 도메인에 여러 애플리케이션이 있는 경우
__4.2 브라우저에 내장된 네트워크 분석 도구
__4.3 공개된 레코드를 이용하기
__4.4 존 전송 공격
__4.5 서브도메인에 대한 브루트 포싱
__4.6 딕셔너리 공격
__4.7 마치며

CHAPTER 5 API 분석
__5.1 엔드포인트 탐색
__5.2 인증 메커니즘
__5.3 엔드포인트 형상
__5.4 마치며

CHAPTER 6 서드파티 의존성 식별
__6.1 클라이언트 측 프레임워크 검출
__6.2 서버 측 프레임워크 검출
__6.3 마치며

CHAPTER 7 애플리케이션 아키텍처 약점 식별
__7.1 보안 아키텍처와 비보안 아키텍처
__7.2 다중 보안 계층
__7.3 바퀴를 재발명할 것인가
__7.4 마치며

CHAPTER 8 1부를 마치며

PART II 공격

CHAPTER 9 웹 애플리케이션 해킹 개요
__9.1 해커의 마음가짐
__9.2 정찰 기법 응용

CHAPTER 10 사이트 간 스크립팅(XSS)
__10.1 XSS 탐색과 익스플로잇
__10.2 저장 XSS
__10.3 반사 XSS
__10.4 DOM 기반 XSS
__10.5 뮤테이션 기반 XSS
__10.6 마치며

CHAPTER 11 사이트 간 요청 위조(CSRF)
__11.1 질의 매개변수 변조
__11.2 GET 페이로드 바꿔치기
__11.3 POST 엔드포인트에 대한 CSRF
__11.4 마치며

CHAPTER 12 XML 외부 엔티티(XXE)
__12.1 직접 XXE
__12.2 간접 XXE
__12.3 마치며

CHAPTER 13 인젝션
__13.1 SQL 인젝션
__13.2 코드 인젝션
__13.3 명령 인젝션
__13.4 마치며

CHAPTER 14 서비스 거부(DoS)
__14.1 정규 표현식 DoS
__14.2 논리 DoS 취약점
__14.3 분산 DoS
__14.4 마치며

CHAPTER 15 서드파티 의존성 익스플로잇
__15.1 통합 방법
__15.2 패키지 관리자
__15.3 CVE 데이터베이스
__15.4 마치며

CHAPTER 16 2부를 마치며

PART III 방어

CHAPTER 17 현대 웹 애플리케이션 보안
__17.1 방어적 소프트웨어 아키텍처
__17.2 완전한 코드 리뷰
__17.3 취약점 탐색
__17.4 취약점 분석
__17.5 취약점 관리
__17.6 회귀 테스팅
__17.7 완화 전략
__17.8 정찰과 공격 기법을 응용

CHAPTER 18 안전한 애플리케이션 아키텍처
__18.1 기능 요구사항 분석
__18.2 인증과 권한 부여
__18.3 개인 식별 정보와 금융 데이터
__18.4 검색
__18.5 마치며

CHAPTER 19 보안 코드 리뷰
__19.1 코드 리뷰 방법
__19.2 전형적인 취약점과 커스텀 로직 버그
__19.3 보안 리뷰 시작 위치
__19.4 시큐어 코딩 안티패턴
__19.5 마치며

CHAPTER 20 취약점 탐색
__20.1 보안 자동화
__20.2 ‘책임 있는 공개’ 프로그램
__20.3 버그 바운티
__20.4 서드파티 침투 테스팅
__20.5 마치며

CHAPTER 21 취약점 관리
__21.1 취약점 재현
__21.2 취약점 심각도 순위
__21.3 공통 취약점 등급 시스템
__21.4 취약점 채점 고도화
__21.5 취약점 분류와 채점 이후
__21.6 마치며

CHAPTER 22 XSS 공격 방어
__22.1 안티 XSS 코딩 모범 사례
__22.2 사용자 입력 정제
__22.3 CSS
__22.4 XSS를 방지하기 위한 콘텐츠 보안 정책
__22.5 마치며

CHAPTER 23 CSRF 공격 방어
__23.1 헤더 검증
__23.2 CSRF 토큰
__23.3 안티 CSRF 코딩 모범 사례
__23.4 마치며

CHAPTER 24 XXE 방어
__24.1 다른 데이터 포맷 평가
__24.2 고도화된 XXE 위험
__24.3 마치며

CHAPTER 25 인젝션 방어
__25.1 SQL 인젝션 완화
__25.2 일반적인 인젝션 방어
__25.3 마치며

CHAPTER 26 DoS 방어
__26.1 정규 표현식 DoS 방어
__26.2 논리 DoS 방어
__26.3 DDoS 방어
__26.4 마치며

CHAPTER 27 서드파티 의존성 보안
__27.1 의존성 트리 평가
__27.2 안전한 통합 기법
__27.3 마치며

CHAPTER 28 3부를 마치며
__28.1 소프트웨어 보안의 역사
__28.2 웹 애플리케이션 정찰
__28.3 공격
__28.4 방어

마지막으로
찾아보기

출판사 서평

웹 애플리케이션 보안의 정찰, 공격, 수비를 체계적으로 정리하고 싶은 당신을 위한 책

이 책은 영화 〈이미테이션 게임〉 주인공인 천재 수학자 앨런 튜링의 ‘에니그마’를 주제로 첫 장을 연다. 흥미로운 보안 주제와 역사를 간략하게 살펴보면서 부담스럽지 않게 책을 살펴볼 수 있다. 구체적인 주제를 들어가기 전 보안 용어표를 미리 정리해두어 보안 세계에 발을 내딛는 초심자도 쉽게 읽을 수 있다.
웹 애플리케이션 정찰의 중요성을 짚고 난 후 보안의 공격과 수비 기법들을 설명한다. 공격과 수비의 다양한 기법과 실제 코드는 웹 애플리... 더보기

Klover 리뷰 (0)

북로그 리뷰 (6) 전체보기 쓰러가기

북로그 리뷰는 본인 인증 후 작성 가능합니다.
책이나 타인에 대해 근거 없이 비방을 하거나 타인의 명예를 훼손할 수 있는 내용은 비공개 처리 될 수 있습니다.
※ 북로그 리뷰 리워드 제공 2021. 4. 1 종료

빠르게 웹 보안에 대해 머리 속을 정리하고 싶다면 이만한 책을 찾기 힘들다 go**127 | 2021-04-17 | 추천: 0 |

전반적으로 웹 애플리케이션 보안에 대해 큰 그림을 그릴 수 있게 잘 구성되어있다. 저자가 언급한대로 외부에서 지식을 찾아볼 필요없이 앞 장부터 순서대로 읽어나간다면 보안 관련 개념을 자연스럽게 익힐 수 있다.같은 토픽을 한 파트에서는 공격 관점, 다른 파트에서는 방어 관점으로 다루어 여러 방향으로 토픽을 바라볼 수 있게 한 것이 흥미로웠다. 특히 정찰은 웹 개발자로서 매우 흥미롭게 읽었다.'이 책에 대하여'와 각 파트의 요약 챕터는 꼭 읽는 것을 추천한다. '이 책에 대해여' 는 책에 어떻게 접근해야하는지 상세하게 나와있다. 요약 ... 더보기

전반적으로 웹 애플리케이션 보안에 대해 큰 그림을 그릴 수 있게 잘 구성되어있다. 저자가 언급한대로 외부에서 지식을 찾아볼 필요없이 앞 장부터 순서대로 읽어나간다면 보안 관련 개념을 자연스럽게 익힐 수 있다.같은 토픽을 한 파트에서는 공격 관점, 다른 파트에서는 방어 관점으로 다루어 여러 방향으로 토픽을 바라볼 수 있게 한 것이 흥미로웠다. 특히 정찰은 웹 개발자로서 매우 흥미롭게 읽었다.'이 책에 대하여'와 각 파트의 요약 챕터는 꼭 읽는 것을 추천한다. '이 책에 대해여' 는 책에 어떻게 접근해야하는지 상세하게 나와있다. 요약 챕터는 각 파트를 정리하고 앞으로 나아갈 파트를 잘 요약해두었으므로 머릿 속에 지식을 정리하는데 도움이 될 것이다."한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다" 닫기
적을 알고 나를 아는 보안 첫걸음 my**ente | 2021-03-21 | 추천: 0 |

적을 알고 나를 아는 보안 첫걸음 ... 더보기

적을 알고 나를 아는 보안 첫걸음

# 시작하기

내가 만든 프로그램을 다른 시각으로 보기 시작하다.

처음 프로그램을 만들 때에는 소프트웨어의 품질이나 보안 등 다른 측면은 전혀 고려할만한 여유가 되지 못하였다. 그러나 프로젝트를 한 사이클 겪어보고 나서 다시 과거에 내가 짰던 프로그램들을 점검하고 유지보수하면서 요즘에는 품질이나 보안에 관해 흥미가 생겼고 다른 시각에서 바라보게 되었다.

어느 분야든 마찬가지겠지만 특히 금융권에서는 잠깐의 장애가 곧 큰 손실을 불러올 수 있기 때문에 보안은 매우 매우 중요하다. 그러나 최근까지도 금융권을 겨냥한 디도스(DDoS) 공격과 같은 보안 이슈가 떠오르고 있다.

Web Application Security는 "적을 알고 나를 알아야 한다." 라는 메시지 안에서 어플리케이션을 보호하는 법을 배우는 것에 그치지 않고 어플리케이션을 조사하고 침입하는 방법까지도 안내하고 있다. 필자와 같이 웹 개발을 해본 사람들에게 새로운 시각과 문제를 소개하고 견문을 넓혀줄 것이다.

# 책 구성 살펴보기

이 책은 크게 3개의 Part로 나누어져 있다.

Part1. 정찰

Part2. 공격

Part3. 방어

Part1과 Part2는 '해커'의 입장으로 보는 어플리케이션의 분석과 취약점 이용을 소개한다. Part1의 정찰단계는 데이터 수집단계로 '약점'을 찾는 것이라고 할 수 있다. Part2에서는 이를 이용한 '익스플로잇'을 배울 수 있다. 인젝션이나 서비스거부(DoS)등의 해킹 기술에 대해 상세하게 소개되고 있다.

책의 저자는 오늘날 웹 어플리케이션은 취약점의 온상이라고 평하고 있다. 그런데 우리가 그것을 전혀 발견하지 못한다면 실제로 해킹에 집중한 나머지 취약점을 제대로 분석하는 지식을 쌓지 못해서라고 강력히 말한다. 즉, Part1의 정찰 기술과 방법론을 가벼이 여긴다면 실제 우리가 방어하기 위해 노력할 것들을 놓칠 수 있다는 것이다.

Part3에서는 Part2에서 소개된 주제별로 방어 기술을 소개하고 있다.

# 장점 골라내기

1. 보안은 처음인 사람들을 위한 보안 용어 정리와 역사 INTRO

어서와, 보안은 처음이지? 저자의 친절한 용어 정리가 돋보인다. 필자와 같이 보안이 처음인 사람들은 책에 나와있는 용어만 찾느라고도 상당 부분 시간이 많이 소요되고, 그 동안 흥미를 잃을지도 모르겠다. 하지만, 그러한 걱정을 덜어주도록 저자는 시작하는 말 다음으로 용어 목록을 수록해 미리보기가 가능하도록 했다. 용어집이 없었다면 아마 지금쯤 형광펜이 무수히 칠해져 있을지도 모르겠다. 이 부분에서 처음 들어봄 익스플로잇 덕분에 2장에서 수월하게 이해하고 넘어갈 수 있었다.

본격적인 보안 기본을 시작하기에 앞서, 보안과 관련한 역사에 대해 소개하는 Chapter1은 흥미롭게 읽을 수 있었다. 앨런 튜링이라는 수학자를 주인공으로 한 영화 "이미테이션 게임"을 재미있게 봤었는데, Chapter1에서 에그니마가 소개되어 반가운 마음도 들었다.

영화 이미테이션 게임 포스터와 chapter1에 소개된 에그니마

2. Application의 분석 ~ 해킹 ~ 방어 전면을 아우르는 보안서적

저자는 대상독자를 경우 별로 나누긴 했지만, 소프트웨어 공학 중급 수준의 배경 지식이 있는 사람을 대상으로 한다고 밝혔다. 그러나 몇 번의 웹 개발을 해본 필자가 읽으면서도 뉴스 기사로 접해본 해킹 기술이 소개되어 있었던 것을 떠올리면 '보안'과 관련하여 관심사가 있는 모든이가 읽어도 좋을 책이라고 확신한다.

바로 해킹을 막기 위한 방법론부터 소개하는 것이 아니라, 해킹과 방어의 대상이 되는 Application을 탐색적으로 분석하는 것부터 시작하고 뒤이어 해킹과 방어를 1:1 로 매칭되도록 소개하고 있기 때문에 독자는 100% 소화가 어렵다면 보안의 일부를 분석 또는 해킹 또는 방어 측면에서 선택적으로 소화할 수 있다.

과거에는 보안 취약점이라고 하면 서버단의 어떤 취약점을 말하는 것으로 통용이 되었던 기억이 있다. 그러나 일부는 DOM이나 CSS를 통해서도 공격을 시도하고 있기 때문에 웹 개발자의 입장에서도 보안은 동떨어지지 않았다는 것을 느끼도록 잘 설득하고 있다. 특히 해킹과 방어가 1:1 구조로 소개되고 있기 때문에 해커와 보안담당자의 시각에서 시나리오를 분석할 수 있어 새롭고 흥미진진했다.

# 제안하기

[단점]

'보안'이라는 것은 확실히 범위가 넓을 것이다. 하지만 이 책에서는 몇 가지의 블랙햇 해커들이 사용하는 기술을 소개하고 있기 때문에 여러 기술이나 시나리오를 접하기에는 한계가 있을 것이라 생각된다.

보안 관련 직무를 수행하는 사람의 입장에서는 어떤지 상상이 안되지만, 웹 개발을 해본 사람의 입장에서는 충분히 만은 레퍼런스가 되었고, 앞으로 코드를 작성할 때 어떻게 해야 사용자를 보호할 수 있는지에 대해 다양한 방면으로 생각해보게 하는 책임에는 틀림없다.

[기대하는 점]

보안은 매우 중요한 것이지만 특정 소수의 역할이라고 생각했던 필자가 어리석었음을 절실히 느낀 시간이었다. 앞으로도 금융권에 재직하는 동안, 보안 관련한 이슈가 끊임없이 나올 것이다. 그 때마다, 개발자로서 보안에 대한 위기의식을 느끼고 기술을 습득하려 노력하는 자세를 잊지 말아야겠다. 전문가 수준은 아니더라도 문제가 발생했을 때 나의 프로그램을 사용하는 사용자들을 보호할 수 있는 방법을 고민할 수 있는 개발자가 되고 싶다. 이 책을 통해 그러한 힘을 얻고자 한다.

# 맺기

[추천]

보안 측면에서 다른 시각을 가지고 싶은 웹 개발자

보안 관련한 직무가 궁금한 사람

최신의 몇 가지 해킹 기술 레퍼런스가 필요한 사람

위 사람들에게 Web Application Security는 보안 길잡이로서 분석, 공격, 방어에 이르기까지 폭 넓은 보안을 탐험할 수 있도록 해줄 것이다.

[소감]

가끔 은행이 DDoS 공격을 받았다는 기사를 보면서도 보안은 중요하구나 정도에서 그쳤는데, 그 현장에서 근무하기 시작하며 조금 더 관심이 생겼다. 얼핏 들어본 것들로 이 책을 소화할 수 있을까 하는 걱정이 앞섰지만 이 책의 저자인 앤드루 호프만의 목적과 필자가 얻고자 하는 것의 방향이 잘 맞았던 것 같다.

읽는 내내 지루하지 않았고 내용의 구성도 쉬움 - 보통 - 어려움 순으로 구성이 되어서 인지 포기하지 않고 읽을 수 있었다. 실습이 없는 기술책은 오랜만이었는데, 자바 스크립트로 작성된 예제를 눈으로 따라가며 익히는 것도 어렵지 않았다.

닫기
[도서 리뷰] 웹 애플리케이션 보안을 읽고 co**come2 | 2021-03-21 | 추천: 0 |

머리말 이번에 선택한 책은 웹 애플리케이션 보안 책을 선택하였습니다. 평소에도 웹 개발을 주로 하고 있지만 보안에 관련된 지식은 많이 부족하고 서버 개발을 맡고 있어서 더욱더 알아야 할 내용이 많을 것 같아서 신청하게 되었습니다. 이 책의 학습 목표는 이 책은 해커로부터 웹 애플리케이션을 보호하는 방법뿐 아니라 웹 애플리케이션을 조사하고 침입하는 방법을 가르친다고 적혀있습니다. 또한 웹 애플리케이션에 침투하기 위해 해커가 실제로 사용하는 여러... 더보기

머리말

이번에 선택한 책은 웹 애플리케이션 보안 책을 선택하였습니다. 평소에도 웹 개발을 주로 하고 있지만 보안에 관련된 지식은 많이 부족하고

서버 개발을 맡고 있어서 더욱더 알아야 할 내용이 많을 것 같아서 신청하게 되었습니다.

이 책의 학습 목표는

이 책은 해커로부터 웹 애플리케이션을 보호하는 방법뿐 아니라 웹 애플리케이션을 조사하고 침입하는 방법을 가르친다고 적혀있습니다.

또한 웹 애플리케이션에 침투하기 위해 해커가 실제로 사용하는 여러 기법들을 소개합니다.

예를 들어 사이트 간 스크립팅(XSS), 사이트 간 요청 위조(CSRF), XML 외부 엔티티, 인젝션, 서비스 거부(Dos) 등

그리고 다양한 사례를 통해서 위협에서 어떻게 웹 애플리케이션의 안전을 확보할 것인지 자세하게 적혀있습니다.

이 책의 독자 레벨은 저자분께서는 소프트웨어 공학 중급 수준의 배경지식이 있는 독자에 맞춰 구성되었어요.

워낙에 다루는 주제가 광범위하므로 프로덕션 품질의 소프트웨어 애플리케이션을 작성해본 경험이나 그에 상응하는 지식이 없는 사람에게는 어려울 수 있다고 적혀있습니다.

그리고 책에서 최소한 필요한 기술을 정의하였는데 이 경험을 해보신 분들에게는 더욱더 잘 읽힐 것 같습니다.

- 최소한 한 가지 프로그래밍으로 기본적인 CRUD(생성, 조회, 갱신, 삭제) 프로그램을 작성

- 서버에서 실행되는 코드 작성

- 브라우저에서 실행되는 코드(프런트엔드 코드, 자바스크립트) 작성

- HTTP 무엇인지 알 수 있는 사람

- 데이터베이스 경험

이 책의 구성

저자분께서는 전체적으로 3부로 구성을 하였습니다.

- 소프트웨어 보안의 역사

뭐든지 공부하기 전에 역사를 알게 되면 더욱더 이해가 빠르시니 재밌게 읽어보시면 좋을 것 같아요. 이 챕터도

해킹의 기원,에니그마,전화 프리킹,컴퓨터 해킹의 태동, 월드 와이드 웹의 부흥(2000년경), 현대의 해커

- 1부 정찰

해킹을 하지 않고도 웹 애플리케이션과 관련된 정보를 취득하는 방법들을 알 수가 있습니다.

전 이 파트에서 각 서브도메인의 최대 길이를 받아 서브도메인의 목록을 브루트 포싱하는 함수 예제가 인상 깊었어요.

- 2부 공격

1부에서 정찰과 데이터 수집을 다뤘다면 코드 분석과 네트워크 요청을 중심으로 해킹 기술을 예제로 실행해 볼 수 있지만

본인이 운영하는 개인 사이트에서 하셔야 합니다.

- 3부 방어

해커의 공격으로부터 코드를 안전하게 지키는 법을 배웁니다.

책 리뷰

이 책은 공격과 수비의 양면을 모두 알 수가 있어서 좋은 것 같습니다.

그리고 기존에 알고 있던 개발 지식을 보안의 관점에서 더욱더 새롭게 바라볼 수 있고 또한 내용도 풍부해서 많은 것을 느낄 수가 있습니다.

용어 또한 정리한 페이지가 있어서 책을 읽으시다가 잘 모르는 부분이 나오면 참고하시면 됩니다.

또한 보안의 역사 및 그리고 다양한 정찰 사례 어떻게 웹 애플리케이션에 접근을 하고 데이터를 어떻게 찾아서 기록을 한 다음

기록을 한 거 가지고 그 애플리케이션을 분석해서 취약점을 판단 후 공격 기법 등을 책에서 정리가 잘되어 있어서 좋았습니다.

비록 제가 모르는 부분이 나오더라도 구글링을 해서 위키 문서를 통해 이해할 수 있으니 참고하시면 됩니다.

이 책을 다 읽고 나면 현재 본인이 운영하고 있는 시스템을 보안의 관점으로 써 좀 더 냉정하게 판단하고 시스템을 개선을 해나갈 수 있는 지식이

조금이라도 늘었다면 그걸 꼭 조금씩 적용해서 탄탄한 시스템을 운영할 수 있도록 하는 게 이 책의 학습 목표인 거 같습니다.

그런 관점으로 보면 꼬옥 추천해드리고 싶은 책입니다. 감사합니다.

닫기
웹 애플리케이션 보안 ih**onsig | 2021-03-21 | 추천: 0 |

안녕하세요. 이번 시간에는 2021년 02월에 출간된 따끈따끈한 한빛미디어 출판사의 <웹 애플리케이션 보안: Web Application Security>에 대한 리뷰를 진행하겠습니다. 이 책은 정찰, 공격, 방어 세 단계로 나눠 웹 애플리케이션 보안에 대해 학습할 수 있습니다. 최근 애플리케이션이 웹 기반으로 이동하면서 웹 애플리케이션 보안에 대한 관심이 높아지고 있습니다. 이 책을 보며 2~3년 전에 학습했던 보안 요소들에 대해 상기할 수 있었으며, 학습했었던 지식을 다시 정리할 수 ... 더보기

안녕하세요. 이번 시간에는 2021년 02월에 출간된 따끈따끈한 한빛미디어 출판사의 <웹 애플리케이션 보안: Web Application Security>에 대한 리뷰를 진행하겠습니다. 이 책은 정찰, 공격, 방어 세 단계로 나눠 웹 애플리케이션 보안에 대해 학습할 수 있습니다.

최근 애플리케이션이 웹 기반으로 이동하면서 웹 애플리케이션 보안에 대한 관심이 높아지고 있습니다. 이 책을 보며 2~3년 전에 학습했던 보안 요소들에 대해 상기할 수 있었으며, 학습했었던 지식을 다시 정리할 수 있었던 좋은 시간을 보낼 수 있었습니다.

<웹 애플리케이션 보안>은 약 370여 페이지로 구성되어 있어 휴대하며 읽기에 부담이 없습니다. 또한, 전차책 뷰어가 있는 분은 전자책도 출간되어 있으니 활용할 수도 있습니다.

한빛미디어 리뷰 평가단에 참여하여 작성한 글이며, 한빛미디어에서 제공해준 책을 읽고 작성했음을 밝힙니다.

이 책의 매력은?

이 책은 소프트웨어 보안의 역사로 시작합니다. 물론 지면 관계로 많은 내용을 다루지는 못하지만, 일반 독자가 상식 수준에서 알아둬야 할 중요한 요소는 담고 있다고 생각합니다. 이 챕터를 활용하여, 독자에게 보안에 대한 호기심을 유발합니다. 개인적으로 좋은 접근이라 생각합니다.
첫 번째 파트는 정찰을 주제로 하고 있습니다. 이 챕터에서 정찰의 목적과 기본적인 정찰 기법에 대해 소개합니다. 정찰을 주제로 자바스크립트 코드를 활용하여 재미있는 예제들을 다수 포함하고 있습니다. 그리고 좋은 팁들을 많이 포함하고 있음으로 관심 있게 학습하면 도움이 될 것입니다. 기존에 전혀 고려하지 않았던 새로운 통찰력을 얻을 수 있습니다.
두 번째 파트는 공격을 주제로 하고 있습니다. 안타깝게도 현대의 웹 애플리케이션은 많은 보안 취약점을 내포하고 있습니다. 이 책에서는 The Open Web Application Security Project(OWASP) TOP 10에서 자주 소개되는 내용을 주제로 소개하고 있습니다. 처음 듣는 용어도 있겠지만, XSS, CSRF, Injection, DoS 등의 주제는 많이 들어보셨을 것입니다. 이런 주제들에 대해 간단한 예제를 구성하여 위험성을 보여줍니다.

세 번째 파트는 방어입니다. 앞의 두 파트를 기반으로 취약점을 찾고, 관리하고, 각 공격으로부터 어떻게 방어할 것인지에 관해 이야기를 전개합니다. 이 책의 내용을 기반으로 새롭게 만들어지는 도구를 찾아 활용하면 실제 웹 사이트를 운영할 때 도움을 받을 수 있을 것입니다.

개인적으로 웹 애플리케이션 개발자는 한 번쯤 봤으면 좋겠습니다. 새로운 보안 용어뿐만 아니라, 애플리케이션을 개발하며 고려하지 않았던 새로운 영역에 대해 이해할 수 있으며, 이 책에서 소개하는 간단한 기술로 시큐어 코딩에 발을 들일 수 있을 것입니다.

마치면서

<웹 애플리케이션 보안>은 매력적인 책입니다. 이 책은 앞에서 이야기했듯이, 정찰, 공격, 방어 3가지 파트로 구성되어 있고, 분야별로 애플리케이션을 제작할 때, 필요한 지식을 학습할 수 있습니다. 보안에 대해 깊이 있게 공부하기는 쉽지 않은 일이며, 많은 시간을 투자해야 하는 일입니다. 하지만 제 생각에는 보안 전문가가 아니더라도 웹 애플리케이션 개발자는 기본적인 보안에 대해 이해하고 있어야 합니다.

이 책으로 보안에 대한 중요성과 웹 애플리케이션이 갖춰야 할 기본 보안 요소에 대해 학습할 수 있습니다. 이 책을 통해 보안에 대해 호기심이 생길 수도 있으리라 생각되며, 웹 애플리케이션 개발자는 한 번쯤 읽어봐야 하는 책이라고 생각합니다.
닫기
WEB Application Security hs**951 | 2021-03-17 | 추천: 0 |

한빛미디어의 지원을 받아 작성된 리뷰입니다. WEB Application Security 웹 어플리케이션 보안 1. 특징 웹 환경을 모의해킹 할때 어떤 식으로 하면 되는지에 대해 알려주는 책이다. 일단 이책이 마음에 들었던 이유는 정... 더보기

한빛미디어의 지원을 받아 작성된 리뷰입니다.

WEB Application Security

웹 어플리케이션 보안

1. 특징

웹 환경을 모의해킹 할때 어떤 식으로 하면 되는지에 대해 알려주는 책이다.

일단 이책이 마음에 들었던 이유는 정찰 > 공격 > 방어 이렇게 목차가 구성이 되어있어서 실무에 도움이 될 거 같았다.

또한 맨처음에 용어 정리가 있어서 용어를 일일이 구글링 하지 않아도 된다는 장점이 있었다.

2. 내용

해킹의 기원

서브도메인 찾기

XSS

CSRF

XXE

DoS

3.평가

책의 난이도를 평가하자면 초중급? 정도 되는 것 같다.

또한 자바스크립트 node.js 등 추가적인 배경 지식이 있어야 내용 이해가 가능했다.

4. 결론

자바스크립트 등 웹 기본 코딩 기술을 배운 후 본다면 좋은 입문서
닫기

문장수집 (0) 문장수집 쓰기 나의 독서기록 보기
※구매 후 문장수집 작성 시, 리워드를 제공합니다. 안내

문장수집 안내

문장수집은 고객님들이 직접 선정한 책의 좋은 문장을 보여주는 교보문고의 새로운 서비스입니다. 마음을 두드린 문장들을 기록하고 좋은 글귀들은 "좋아요"하여 모아보세요. 도서 문장과 무관한 내용 등록 시 별도 통보 없이 삭제될 수 있습니다.

1. 리워드 안내
구매 후 90일 이내에 문장수집 작성 시 e교환권 100원을 적립해 드립니다.

e교환권은 적립일로부터 180일 동안 사용 가능합니다.

리워드는 작성 후 다음 날 제공되며, 발송 전 작성 시 발송 완료 후 익일 제공됩니다.

리워드는 한 상품에 최초 1회만 제공됩니다.

주문취소/반품/절판/품절 시 리워드 대상에서 제외됩니다.

교환/반품/품절안내

※ 상품 설명에 반품/교환 관련한 안내가 있는 경우 그 내용을 우선으로 합니다. (업체 사정에 따라 달라질 수 있습니다.)

교환/반품/품절안내
반품/교환방법	마이룸 > 주문관리 > 주문/배송내역 > 주문조회 > 반품/교환신청 , [1:1상담>반품/교환/환불] 또는 고객센터 (1544-1900) ※ 오픈마켓, 해외배송주문, 기프트 주문시 [1:1상담>반품/교환/환불] 또는 고객센터 (1544-1900)
반품/교환가능 기간	변심반품의 경우 수령 후 7일 이내, 상품의 결함 및 계약내용과 다를 경우 문제점 발견 후 30일 이내
반품/교환비용	변심 혹은 구매착오로 인한 반품/교환은 반송료 고객 부담
반품/교환 불가 사유	소비자의 책임 있는 사유로 상품 등이 손실 또는 훼손된 경우 (단지 확인을 위한 포장 훼손은 제외) 소비자의 사용, 포장 개봉에 의해 상품 등의 가치가 현저히 감소한 경우 예) 화장품, 식품, 가전제품(악세서리 포함) 등 복제가 가능한 상품 등의 포장을 훼손한 경우 예) 음반/DVD/비디오, 소프트웨어, 만화책, 잡지, 영상 화보집 소비자의 요청에 따라 개별적으로 주문 제작되는 상품의 경우 ((1)해외주문도서) 디지털 컨텐츠인 eBook, 오디오북 등을 1회 이상 다운로드를 받았을 경우 시간의 경과에 의해 재판매가 곤란한 정도로 가치가 현저히 감소한 경우 전자상거래 등에서의 소비자보호에 관한 법률이 정하는 소비자 청약철회 제한 내용에 해당되는 경우 (1) 해외주문도서 : 이용자의 요청에 의한 개인주문상품으로 단순변심 및 착오로 인한 취소/교환/반품 시 ‘해외주문 반품/취소 수수료’ 고객 부담 (해외주문 반품/취소 수수료 : ①서양도서-판매정가의 12%, ②일본도서-판매정가의 7%를 적용)
상품 품절	공급사(출판사) 재고 사정에 의해 품절/지연될 수 있으며, 품절 시 관련 사항에 대해서는 이메일과 문자로 안내드리겠습니다.
소비자 피해보상 환불지연에 따른 배상	상품의 불량에 의한 교환, A/S, 환불, 품질보증 및 피해보상 등에 관한 사항은 소비자분쟁해결 기준 (공정거래위원회 고시)에 준하여 처리됨 대금 환불 및 환불지연에 따른 배상금 지급 조건, 절차 등은 전자상거래 등에서의 소비자 보호에 관한 법률에 따라 처리함