도서 소개
KISA 웹 취약점 진단 22개 항목 완벽 실습서이며, 웹 취약점 진단의 표준 지침서. 웹 취약점 진단의 초보자들에게 쉽게 다가서고, 빠른 기술력 습득과 이해에 초점을 맞추었다. 국내의 웹 취약점 진단의 표준이 되는 가장 상세한 KISA의 웹 취약점 진단 가이드를 마스터 할 수 있도록 실습이 가능한 내용으로 구성하였다.
특히 취약점을 발견하는 데에 초점을 맞추었으며, 웹 진단은 가장 먼저 취약점을 선제적으로 찾아내는 게 중요하므로, 시큐어 코딩을 수행하는 개발자 및 서버 관리자 등의 취약점 조치와 대응자의 입장에서 서술한 책은 아니다.
출판사 리뷰
6명의 전문가 필자가 참여해 집필한
KISA 웹 취약점 진단 22개 항목 완벽 실습서이자
웹 취약점 진단의 표준 지침서
여동균 외 5명의 필자가 참여해 집필한 ‘누구나 쉽게 따라 하는 웹 취약점 진단 기술’은 KISA 웹 취약점 진단 22개 항목 완벽 실습서이며 또한 웹 취약점 진단의 표준 지침서이다. 더 나아가 웹 취약점 진단의 초보자들에게 쉽게 다가서고, 빠른 기술력 습득과 이해에 초점을 맞춘 길라잡이가 되어 줄 책이다.
취약점 진단자 및 공격자의 입장에서 바라본 시각으로 기술한 본 도서는, 국내의 웹 취약점 진단의 표준이 되는 가장 상세한 KISA의 웹 취약점 진단 가이드를 마스터 할 수 있도록 실습이 가능한 내용으로 구성하였다.
특히 취약점을 발견하는 데에 초점을 맞추었으며, 웹 진단은 가장 먼저 취약점을 선제적으로 찾아내는 게 중요하므로, 시큐어 코딩을 수행하는 개발자 및 서버 관리자 등의 취약점 조치와 대응자의 입장에서 서술한 책은 아니다.
초보자들조차 쉽게 다가서고, 빠른 기술력 습득과 이해하다
‘웹 취약점 진단 기술’ 저자들은 개발과 운영의 직무 분리 및 시스템을 분리하여 사용하듯이 공격자와 대응(방어)하는 측면은 서로 다르다는 것을 인식하고, 취약점을 효과적으로 찾는 방법을 학습하기를 권한다.
저자들이 이 책을 “진단 기술을 그냥 떠먹여 주는 책”이라고 표현할 만큼 이해하기 쉽게 설명해두었다. 따라서 웹 취약점 진단의 초보자들에게조차 쉽게 다가서고, 빠른 기술력 습득과 이해에 초점을 맞추었다. 정보보안, 사이버 보안 등 사회에서 보안의 중요성은 날로 커져가고 있지만 대학생, 취업준비생, 중?고등학생들에게는 관련학과나 전공자가 아니면 너무도 동떨어진 먼 나라 얘기처럼 다가가는 게 현실이다. 누구에게나 정보보안에 관심 있는 자들에게 기회를 주고 싶은 집필자들의 마음이 작용한 것이 바로 ‘누구나 쉽게 따라 하는 웹 취약점 진단 기술’이다.
취약점 진단이 어려워 감히 엄두도 못 냈던 이들에게 유용한 책
저자들은 이 책에서 나오는 내용을 빠르게 습득한 후, 더 어렵고 기술력이 높은 것들을 공부하기 위한 발판으로 삼으라고 조언한다. 혹자는 “공부와 기술은 혼자 연마하는 것이다. 아무리 가르쳐 준다고 해도 실력이 늘지 않는다.”라고 말한다. 특히 IT 및 보안에서 이런 말들을 더 자주 쓴다. 그만큼 IT 및 정보보안 분야는 가르쳐주는 데 한계가 있어서 개인이 기를 쓰고 공부하지 않는다면 끝내는 성취하기가 어렵다는 뜻이 내포되어 있는 것이다.
이 책은 개인의 노력과 상관없이 웹 취약점 진단 등을 공부하는 이들이 쉽게 학습할 수 있으므로, 교육 여건이 열악하여 도움이 절실히 필요한 이들에게 금세 다가갈 수 있는 기회가 되기를 저자들은 간절히 바란다.
비록 최고는 아니더라도 최선을 다해 집필하였으므로, 취약점 진단이 어려워 접근조차 어려워하였던 이들과 관심 있는 젊은이들에게 유용한 책으로 활용될 수 있을 것이다.
▣ 악성콘텐츠 취약점 진단방법
- 플래쉬와 같은 콘텐츠의 취약점을 이용하면 악성코드를 삽입 가능하므로, 소스보기에서 악의적인 콘텐츠가 포함되어 있는지 확인하여야 한다.
- 플래쉬 매개변수 AllowScriptAccess가 Always로 설정되었을 경우 취약
- 해당 취약점은 클라이언트단 스크립트 소스 Flash Player 관련해서 Allow ScriptAccess와 같은 오브젝트 매개변수에 Always 값을 주게 되면 악성 스크립트를 삽입 및 실행할 수 있는 취약점이다.
예) <embed src="http://www.test.co.kr/xss.swf" width="450" height="400"type="application/x-shockwave-flash" allowScriptAccess="always"> </embed>
- 결과적으로 always 이면 swf 파일은 html 페이지와 다른 도메인에 있는 경우에도 swf 파일이 포함된 html 페이지와 통신 할 수 있다. 그러나 sameDoma in이면 swf 파일은 html 페이지와 동일한 도메인에 속해 있는 경우에만 swf 파일이 포함된 html 페이지와 통신할 수 있다. 이 값이 기본 값이다. 또한 never 값으로 설정하면 swf 파일에서 어떠한 html 페이지와도 통신 할 수 없다.
▣ 악성콘텐츠 취약점 대응방안
- 악성콘텐츠를 삽입하려면 기본적으로 SQL 인젝션, XSS, 파일업로드 취약점을 이용하기 때문에, 앞서 학습한 취약점들이 없다면 조금은 안심해도 되겠다. 그러나 악성콘텐츠 삽입방법은 소프트웨어의 취약사항 및 알려지지 않은 공격으로 자주 발생하기도 하기 때문에 웹 소스를 확인하여 인가되지 않았거나, 잘 모르는 콘텐츠가 포함되어 있는지 주기적으로 확인하여야 하겠다.
작가 소개
저자 : 여동균
국내 전국민의 사이버보안 의식 수준 제고와 어린이들의 올바른 사이버보안 의식, 윤리, 도덕심을 함양하도록 정보보안 파수꾼으로 활동하고 있다. - ㈜이글루시큐리티 보안관제 팀장, ㈔한국사이버감시단 이사 - 한국정보보호심사원협회 부회장(현재), ISMS 인증심사원(현재) - ㈔한국인터넷정보학회 정보보호연구회 정회원(현재) - 저서: 사이버보안의 북극성, ISMS 보안인증관리, 보안관제 실무가이드, 정보보안관제사(1/2/3급), 정보보안기사 핵심노트 등 - 특허: 인증전원제어시스템(제 10-1672926)
저자 : 허행희
(주)이글루시큐리티 취약점진단 전문가
저자 : 김선집
한세대학교 IT 학부 교수
저자 : 손우종
(주)이글루시큐리티 취약점진단 전문가
저자 : 나진수
(주)이글루시큐리티 악성코드분석 전문가
목차
머리말 _이 책을 읽기 전에 04
제1장 웹 취약점 진단 개요 11
제2장 웹 취약점 진단 상세 방법
- 운영체제 명령실행 취약점 33
- SQL 인젝션 취약점 37
- XPath 인젝션 취약점 50
- 디렉토리 인덱싱 취약점 52
- 정보노출 취약점 60
- 악성콘텐츠 취약점 69
- 크로스사이트 스크립팅 취약점 71
- 약한 문자열 강도(브루트포스) 취약점 92
- 불충분한 인증 및 인가 취약점 100
- 취약한 패스워드 복구 취약점 103
- 불충분한 세션 관리 취약점 104
- 크로스사이트 요청 변조(CSRF) 취약점 106
- 자동화 공격 취약점 110
- 파일 업로드 취약점 115
- 경로추적 및 파일다운로드 118
- 관리자 페이지 노출 취약점 122
- 위치 공개 취약점 126
- 데이터 평문 전송 취약점 134
- 쿠키변조 취약점 138
- 웹 서비스 메소드 설정 공격 142
- URL/파라미터 변조 취약점 146
- 기타(검증되지 않은 리다이렉트와 포워드) 취약점 150
[부록] 시스템 취약점 진단 기술
![[큰글자책] 한글 NEO 활용 이미지](https://image.imilkbook.com/HanBook/Simg/cover/098/396480098.jpg)
![[큰글자책] 한글 NEO 기초 이미지](https://image.imilkbook.com/HanBook/Simg/cover/853/396479853.jpg)
