Top

해킹 초보가 꼭 알아야 할 공격과 방어 기술 21가지 세트 [웹, 무선 네트워크, USB]

  • 원서명Seven Deadliest Web Application Attacks, Seven Deadliest Wireless Technologies Attacks, Seven Deadliest USB Attacks
  • 지은이마이크 셰마, 브래드 하인스, 브라이언 앤더슨, 바바라 앤더슨
  • 옮긴이민병호, 김경곤, 김기남, 윤민홍, 남기혁
  • ISBN : 9788960772243
  • 59,000원
  • 2011년 08월 22일 펴냄
  • 페이퍼백 | 772쪽 | 188*235mm
  • 시리즈 : 해킹과 보안

책 소개

[ 세트 구성: 전3권 ]

1) 『해킹 초보를 위한 웹 공격과 방어』
2) 『해킹 초보를 위한 무선 네트워크 공격과 방어』
3) 『해킹 초보를 위한 USB 공격과 방어』


『해킹 초보를 위한 웹 공격과 방어』 소개

보안 실무자와 모의 해킹 전문가가 바로 활용할 수 있는 최신 기술이 담긴 책!
웹 보안의 개념과 실전 예제가 모두 담긴 책!


『해킹 초보를 위한 웹 공격과 방어』는 기존의 웹 보안 관련 서적이 놓치고 있는, 하지만 많은 독자가 궁금해 하는 내용에 답을 주는 책이다. 개념만 나와있어 실전에 응용하기 어려운 책이나 공격 기법은 자세히 다루면서 방어법은 지나치게 간단히 다루는 책에 아쉬움을 느꼈다면, 이 책을 읽음으로써 갈증을 말끔히 해소할 수 있다. 적은 분량임에도 불구하고 매우 실질적인 공격 예제와 최선의 방어법을 모두 담고 있는 책이 바로 『해킹 초보를 위한 웹 공격과 방어』이다.

『해킹 초보를 위한 무선 네트워크 공격과 방어』 소개

무선 네트워크 세계에서 발생할 수 있는 7가지 주요 공격 방법과 대응 방법을 소개한다. 와이파이 무선 네트워크 기반 공격과, 무선 클라이언트에 대한 공격, 블루투스 공격, RFID 공격, 아날로그 무선 장치 공격, 안전하지 않은 암호, 휴대폰, PDA, 복합 장치에 대한 공격 실패 사례, 공격과 방어 방법에 대한 지식을 얻을 수 있을 것이다.

『해킹 초보를 위한 USB 공격과 방어』 소개

편리해서 널리 사용되는 USB 메모리가 사실 얼마나 위험한 존재인지 깨닫게 해주는 책이다. 악성 코드를 심어 사용자 몰래 컴퓨터의 자료를 훔치는 일부터 전원이 꺼진 컴퓨터의 메모리에서 정보를 빼가는 일까지 USB 메모리로 할 수 있는 공격 방법들을 분석하고 방어 전략을 세울 수 있게 도움을 준다. 또한 사회공학적인 방법이 더해져 상상할 수 없을 만큼 확장될 수 있는 공격 방법들도 분석하고 대처하는 방법을 알려준다. 이 책의 실습을 통해 USB 공격의 위험성을 깨닫고 항상 주의해서 USB 메모리를 사용하기 바라며, 기업의 경우 USB 메모리의 사용 정책을 세우는 데 도움이 되기 바란다.

저자/역자 소개

마이크 셰마 (Mike Shema)
취약점 관리 회사인 퀄리스(Qualys)에서 웹 애플리케이션 스캐닝 서비스 부문을 담당하는 리드 개발자다. 웹 애플리케이션 스캐닝 서비스란, 다양한 웹 취약점을 자동으로 정확하게 진단해주는 서비스를 말한다. 퀄리스 이전에는 파운드스톤(Foundstone)에서 보안 컨설팅 업무를 담당하며 정보 보안 분야의 다양한 경험을 축적했다. 마이크는 무선 보안 등의 네트워크 보안과 웹 애플리케이션 모의 해킹 분야의 교육 프로그램을 만들고 직접 가르쳐왔다. 이렇게 다양한 경험을 바탕으로 북미, 유럽, 아시아 등지에서 열리는 블랙햇(BlackHat), 인포섹(InfoSec), RSA 등의 학회에서 다양한 주제의 연구 결과를 발표했다.
마이크는 『안티 해커 툴킷(Anti-Hacker Toolkit)』, 『해킹 익스포즈드: 웹 애플리케이션(Hacking Exposed: Web Applications) 2판』을 공동 집필하기도 했다. 현재 샌프란시스코에 거주하며, 이 자리를 빌려 자신의 촌스럽고 서툰 플레이를 참아준 동료 RPG 게이머들에게 감사의 마음을 표했다.

브래드 ‘렌더맨’ 하인스 (Brad ‘RenderMan’ Haines)
『RFID 보안』과 『키스멧 해킹(Kismet Hacking)』의 공동 저자이기도 한 브래드는 Renderlab.net의 주 연구가이며, 무선 싱크탱크인 ‘The Church of WiFi’의 공동 설립자이기도 하다. 현재 캐나다 앨버타에 있는 에드몬튼에서 컨설팅 회사를 운영 중이며, 대규모와 소규모의 다양한 클라이언트에게 무선 수행과 보안 평가 서비스를 제공한다.
무선 보안 분야의 해커 커뮤니티에서 이름이 높은 전문가로서 블랙햇(Black Hat)과 데프콘(DEFCON) 같은 많은 국제 컨퍼런스에서 연설을 했으며, 무료 무선 평가 도구에 관한 여러 수업을 가르치기도 했다. 또한 오랜 시간에 걸쳐 키스멧 무선 스니퍼와 coWPAtty 같은 무선 보안 도구 발전에 공헌해왔다.

브라이언 앤더슨 (Brian Anderson) (MCSE)
프리랜서 보안 컨설턴트로 활동 중이다. USMC에서 헌병으로 근무하면서 보안 관련 일을 처음 시작했다. 소말리아 인권 운동에도 참여했으며, 중앙아시아와 한국에 방문한 적도 있다. 또한 사격술과 시가전 교관으로도 활동했다.
EDS에 합류하면서부터 본격적으로 보안 관련 기술 경력을 쌓기 시작했다. 기업 내 인프라에서 발생하는 문제를 해결하는 일을 담당했으며, 재난 복구와 기업의 보안 시스템 디자인 등의 일을 담당했다. 또한 보안 엔지니어로 활동하면서 업무 영역을 넓혀나갔다. HIPAA, PCI, SOX, FIPS 등의 규율과 관련된 보안 전문가로 많은 활동을 하면서 서비스, IdM, RBAC, SSO, WLAN, 데이터 암호화 등의 보안 전략을 총괄했다.

바바라 앤더슨 (Barbara Anderson) (CCSP, CISSP, CCNP, CCDP)
11년 넘게 네트워크와 서버 보안 전문가로 활동 중이다. 네트워크 보안 관련 선임 엔지니어로 활동하는 여성으로, 네트워크와 보안 디자인에 관련된 모든 분야에서 컨설팅 업무를 수행 중이다. 네트워크 보안과 관련된 전문 지식을 지녔으며, 기업 내 네트워크를 디자인하고 구현하는 일을 담당하며 수명 관리에 경험이 많다. 미 공군에서 4년간 복무했으며 EDS, SMU, 후지쯔, ACS, 피시넷 시큐리티(Fishnet Security)에서도 근무했다. 이런 경험을 바탕으로 현재 최고의 기업 보안 전문가로서 보안 제품을 적용하고 교육하는 일을 수행 중이다.


[ 옮긴이 소개 ]

민병호
서울대학교 컴퓨터공학과에서 학사와 석사를 마쳤으며, 보안 연구가를 꿈꾸며 계속 정진 중이다. 옮긴 책으로 에이콘출판사에서 펴낸 『TCP/IP 완벽 가이드』(2007), 『새로 보는 프로그래밍 언어』(2008), 『리눅스 방화벽』(2008), 『크라임웨어』(2009)가 있다.

김경곤
현재 세계적인 글로벌 컨설팅 펌인 삼일PwC에서 Manager로 일하고 있으며, 주 업무는 IT 위험 관리, 내부 감사, IT 감사, 정보 보안이다. 또한 기업, 정부기관 등 80여 개의 큰 사이트에 대한 모의해킹과 보안 컨설팅을 수행했으며, 삼성SDS, 금융권, 대기업, 학교를 비롯한 여러 기관에서 보안/해킹 강의를 했다. 숭실대학교 컴퓨터학부를 졸업하고 고려대학교 정보보호대학원 석사 과정 중에 있으며, A3 Security Consulting과 SK 인포섹에서 보안 컨설턴트로 일한 경험이 있다.
제1회 해킹방어대회에서 대상을 수상해 정보통신부 장관상을 수여했으며, 2007년도 세계해킹컨퍼런스인 데프콘에 아시아에서 유일하게 한국 팀 멤버로 참여하기도 했다. 그 외 EBS와 중앙일보에서 보안 컨설턴트에 대해 인터뷰를 하기도 했다.
저서로는 『정보보안 개론과 실습: 인터넷 해킹과 보안』(2005)이 있다.
역서로는 『와이어샤크를 활용한 실전 패킷 분석』(2007, 에이콘출판), 『웹 해킹 & 보안 완벽 가이드』(2008, 에이콘출판), 『윈도우 시스템 관리자를 위한 커맨드라인 활용 가이드』(2009, 에이콘출판), 『엔맵 네트워크 스캐닝』(2009, 에이콘출판)이 있다.

김기남
멜버른 대학(The University of Melbourne)에서 MEd(Master of Education, 영어교육학 석사)를 취득했으며, 8년간 일선 학교에서 영어 교사로 근무 중이다. 『윈도우 시스템 관리자를 위한 커맨드라인 활용 가이드』(2009, 에이콘출판), 『엔맵 네트워크 스캐닝』(2009, 에이콘출판)을 번역한 바 있다.

윤민홍
아름다운 아내, 귀염둥이 딸, 아들과 대전에서 살고 있는 8년차 연구원으로, 모바일 SW 플랫폼 분야에서 일한다. 작은 버그를 수정하고 1%라도 성능을 높이는 것에 만족을 느끼는 소심한 연구원으로, 은퇴하는 날까지 프로그래밍을 즐기는 것이 소망이다. 에이콘출판사에서 출간한 『코코아 터치 프로그래밍』(2010)을 번역했다.

남기혁
고려대 컴퓨터학과를 졸업하고 동 대학원 정형기법 연구실에서 석사 학위를 받았다. 한국전자통신연구원에서 미래 인터넷 연구에 참여 중이며, 낚시와 자동차에 푹 빠져 살고 있다. 에이콘출판사에서 출간한 『Early Adopter Curl』(2002), 『GWT 구글 웹 툴킷』(2008)과 『코코아 터치 프로그래밍』(2010)을 번역했다.

목차

목차
  • 『해킹 초보를 위한 웹 공격과 방어』
  • 1장 크로스사이트 스크립팅
    • HTML 인젝션의 이해
      • 인젝션 가능 지점 찾기
      • XSS 공격 유형
      • 안전한 문자셋 처리
      • 오동작을 이용한 필터 우회
      • 금지 문자는 사용하지 않는 XSS 공격
      • 브라우저의 특징 고려
      • 기타 고려 사항
    • 방어법
      • 문자셋 명시
      • 문자셋과 인코딩의 정규화
      • 출력 인코딩
      • 제외 목록과 정규식 사용 시 주의점
      • 코드 재사용(다시 구현하지 말자)
      • 자바스크립트 샌드박스
    • 정리
  • 2장 크로스사이트 요청 위조
    • 크로스사이트 요청 위조의 이해
      • 강제 브라우징을 이용한 요청 위조
      • 이미 인증된 사용자 공격
      • CSRF와 XSS의 위험한 만남
      • POST를 이용한 공격
      • 다양한 방식으로 접근 가능한 웹
      • CSRF의 변형: 클릭재킹
    • 방어법
      • 웹 애플리케이션 방어
      • 웹 브라우저 방어
    • 정리
  • 3장 SQL 인젝션
    • SQL 인젝션의 이해
      • 질의문 깨부수기
      • 데이터베이스 정보 추출
      • 기타 공격 벡터
    • 방어법
      • 입력 검증
      • 질의문 보호
      • 정보 보호
      • 데이터베이스 최신 패치 유지
    • 정리
  • 4장 잘못된 서버 설정과 예측 가능한 웹페이지
    • 잘못된 서버 설정과 예측 가능한 웹페이지로 인한 공격의 이해
      • 안전하지 않은 디자인 패턴 식별
      • 운영체제 공격
      • 서버 공격
    • 방어법
      • 파일 접근 제한
      • 객체 참조 사용
      • 취약한 함수의 차단
      • 권한 확인 의무화
      • 네트워크 연결 제한
    • 정리
  • 5장 인증 방식 우회
    • 인증 공격의 이해
      • 세션 토큰 재활용
      • 브루트포스
      • 스니핑
      • 암호 초기화
      • 크로스사이트 스크립팅
      • SQL 인젝션
      • 사용자 속이기
    • 방어법
      • 세션 쿠키 보호
      • 사용자 개입
      • 사용자 귀찮게 하기
      • 요청 처리율 제한
      • 기록과 다중 분석
      • 추가적인 인증 기법의 사용
      • 피싱 방어
      • 암호 보호
    • 정리
  • 6장 로직 공격
    • 로직 공격의 이해
      • 작업 흐름의 오용
      • 정책과 실무의 허점 공격
      • 귀납법
      • 서비스 거부
      • 취약한 디자인 패턴
      • 정보 선별
    • 방어법
      • 요구 사항 문서화
      • 광범위한 테스트 케이스 생성
      • 정책 반영
      • 방어적 프로그래밍
      • 클라이언트 검증
    • 정리
  • 7장 신뢰할 수 없는 웹
    • 멀웨어와 브라우저 공격의 이해
      • 멀웨어
      • 브라우저 플러그인의 다면성
      • 도메인 네임 시스템과 출처
    • 방어법
      • 안전한 웹 서핑
      • 브라우저 고립
      • DNS 보안 확장
    • 정리

  • 『해킹 초보를 위한 무선 네트워크 공격과 방어』
  • 1장 8022.11 무선 기반 시설 공격
    • 무선 네트워크가 작동하는 방법
    • 사례: TJX 회사
    • WEP 크래킹의 이해
    • WEP 크래킹 방법
    • 좋은 점과 나쁜 점
    • 넛셸에서의 WPA와 WPA2
    • WPA PSK와 WPA2 PSK 크래킹 방법
    • 정리
    • 참고 문헌
  • 2장 무선 클라이언트 공격
    • 공개 핫스팟의 위험
    • 핫스팟의 작동 방법
    • 공개 핫스팟 공격
    • 문제의 가장 중요한 부분
    • 해결책
    • 인젝션 공격
      • 자바 스크립트로 대체
    • 정리
    • 참고 문헌
  • 3장 블루투스 공격
    • 블루투스 기술
    • 블루투스 해킹
      • 블루투스 발견
    • 연결
      • 카위스퍼
      • 블루 버그
    • 대규모 스니핑
    • 블루투스 바이러스
    • 정리
  • 4장 RFID 공격
    • RFID 기본 개념
      • RFID 시스템
    • RFID 위험
    • 물리적인 접근 통제
      • 근접식 카드
      • RFID 복제
      • 위험을 최소화
    • 암호화와 접목된 RFID
    • 정리
    • 참고 문헌
  • 5장 아날로그 무선 장치
    • 아날로그 장치
    • 디지털과 아날로그
      • 아날로그 보안
      • 디지털 보안
    • 무선(cordless)과 무선(wireless)
    • 아날로그 무선 활용
      • 오디오 취약점
    • 스캐너 선택
      • 헤드셋
    • 무선 마이크
    • 비디오 장치
    • 방어
    • 정리
  • 6장 나쁜 암호화
    • 역사
    • 적절한 암호화
    • 여권
    • 여권 요약
    • 스피드패스
    • 발전된 WPA와 WPA2 크래킹
    • 정리
    • 참고 문헌
  • 7장 핸드폰, PDA, 하이브리드 장치
    • 하이브리드 장치
    • 역사
    • 공격의 분석
      • 탈옥
    • 공격
    • 미래의 공격
      • 하이브리드 장치의 공격적 사용
      • 익명성
    • 아이폰 요약
      • 안드로이드 보안
      • 일반적인 위협
    • 정리

  • 『해킹 초보를 위한 USB 공격과 방어』
  • 1장 USB 핵쏘
    • 아무도 모르게 발생한 데이터 유출 사고
    • 공격 분석
      • USB
      • U3와 USB 메모리의 CD-ROM 에뮬레이션
      • 핵쏘 공격 실습을 위한 준비
      • 핵쏘 제거
    • 핵쏘가 위험한 이유
      • 각종 규제
    • 포터블 플랫폼의 진화
      • 포터블 플랫폼
      • 핵쏘 개발 정리
    • 방어 전략
    • 정리
    • 참고 문헌
  • 2장 USB 스위치블레이드
    • 성적 조작
    • 스위치블레이드 들여다보기
      • 스위치블레이드에서 사용하는 도구 소개
      • 스위치블레이드 제작
    • 조심해야 하는 이유
    • 스위치블레이드의 진화
      • 권한 상승
    • 방어 전략
      • 시스템 실행 방지 기술과 USB를 이용한 방어 방법
      • 생체 인식과 토큰을 이용한 보안
      • 효과적인 패스워드 설정
      • 윈도우 그룹 정책 옵션
      • 브라우저 설정과 화면 보호기
    • 정리
  • 3장 USB를 이용한 바이러스와 악성 코드 실행
    • 위험에 노출된 환경
      • 실패한 프레젠테이션
    • 공격 분석
      • 악성 코드 용어
      • 자동 실행
      • 공격 실습
    • 공격의 진화
    • 최신 유행 공격 유형
      • 봇넷
      • 분산 DoS 공격
      • 무분별한 이메일 발송
      • 새로운 컴퓨터 감염
      • 개인 정보 유출
      • 불법 소프트웨어 송수신
      • 구글 애드센스 악용
    • 방어 전략
      • 안티멀웨어
    • 정리
    • 참고 문헌
  • 4장 USB 장치 오버플로우
    • 오버플로우 개요
    • 공격 분석
      • 디바이스 드라이버
      • 오버플로우 발생시키기
      • USB 장치 개발
    • 공격의 위험성
    • 오버플로우 전망
    • 방어 전략
      • 드라이버
      • 물리적인 보안 메커니즘
    • 정리
    • 참고 문헌
  • 5장 RAM 덤프
    • 컴퓨터 도난의 위험성
    • 디지털 증거 수집
      • COFEE와 DECAF
      • 메모리 정보 수집
      • 공격 실습
    • 메모리 보안의 중요성
    • 고급 메모리 분석
      • ManTech DD
      • 기타 분석 도구
      • 발전하는 메모리
      • 악마 하녀가 감시하는 공간
    • 방어 전략
      • 보안 프레임워크, 프로그램, 모니터링
      • 위치 추적과 원격 관리
      • 바이오스 기능
      • 비신뢰 실행 기술과 모듈 플랫폼
      • 암호화 성능 향상
      • 비트로커와 트루크립트
    • 정리
    • 참고 문헌
  • 6장 팟 슬러핑
    • 팟 슬러핑 피해 사례
    • 팟 슬러핑 원리
      • 팟 슬러핑 따라하기
    • 비즈니스의 위험 요소
      • 아이팟의 확산
    • 진화하는 공격 기법
      • 탈옥, 잡스가 만든 감옥에서 탈출하기
    • 방어 전략
      • 클라이언트에 저장할 데이터 최소화
      • 아이폰 해킹
    • 정리
    • 참고 문헌
  • 7장 사회공학과 USB를 이용한 공격
    • 두뇌 게임
    • 사회공학과 해킹
      • 역사회공학
      • 모의 해킹
    • 사회공학의 위험
      • 사회공학과 관련된 우려
    • 사회공학의 역사
      • USB 멀티패스
    • 방어 전략
      • 보안 인지와 교육
      • 행동적 생체인식
      • 윈도우 성능 향상
    • 정리
    • 맺음말

도서 오류 신고

도서 오류 신고

에이콘출판사에 관심을 가져 주셔서 고맙습니다. 도서의 오탈자 정보를 알려주시면 다음 개정판 인쇄 시 반영하겠습니다.

오탈자 정보는 다음과 같이 입력해 주시면 됩니다.

(예시) p.100 아래에서 3행 : '몇일'동안 -> 며칠동안