Top

웹 애플리케이션 해킹 대작전 [웹 개발자가 꼭 알아야 할 웹 취약점과 방어법]

  • 원서명How to break web software (ISBN 9780321369444)
  • 지은이Mike Andrews, James A. Whittaker
  • 옮긴이윤근용
  • 감수자강유
  • ISBN : 9788960770102
  • 25,000원
  • 2007년 01월 30일 펴냄
  • 페이퍼백 | 240쪽 | 188*250mm
  • 시리즈 : 해킹과 보안

책 소개

해커는 여러분의 웹 사이트, 웹 애플리케이션, 웹 서비스를 무차별적으로 공격한다. 보안 취약점이 있다면 해커가 공격하기 전에 먼저 발견하고 조치를 취해야 한다. 이 책은 여러분에게 확실하고 실질적인 보안 테스팅 가이드 역할을 해줄 것이다.


[ 이 책의 내용 ]
이 책에서는 웹 소프트웨어 공격의 각 주제(클라이언트, 서버에서의 공격, 상태, 사용자 입력 공격 등) 별로 두 명의 유명한 보안 전문가가 조언을 해준다. 웹 애플리케이션 구조와 코딩에 존재할 수 있는 수십 개의 결정적이고 널리 악용되는 보안 결점들을 파헤쳐 나가면서 동시에 강력한 공격 툴들의 사용법을 마스터해나갈 것이다. 이 책의 저자들은 잠재적인 위협과 공격 벡터를 어디서 찾아야 하는지, 그것들을 어떻게 철저하게 테스트할 수 있는지, 그리고 여러분이 발견한 보안 취약점을 어떻게 방어해야 하는지 설명하고 있다.

주요 내용
• 클라이언트에서의 검증 회피 공격
• 상태 기반 공격: 숨은 필드, CGI 인자, 쿠키 조작, URL 건너뛰기, 세션 가로채기 공격
• 사용자 입력 데이터 공격: 크로스 사이트 스크립팅, SQL 삽입, 디렉토리 노출 공격
• 언어와 기술 기반 공격: 버퍼 오버플로우, 정규화, NULL 문자열 공격
• 서버 공격: 저장 프로시저를 이용한 SQL 삽입, 명령 삽입, 핑거프린팅 공격
• 암호, 프라이버시, 웹 서비스 공격


[ 이 책의 대상 ]

여러분이 개발한 웹 소프트웨어는 매우 중요하고 절대 위험에 노출되어서는 안될 것이다. 이 책을 읽는 독자가 개발자, 테스터, QA 전문가 또는 IT 관리자 등 어떤 일을 맡고 있든 간에 웹 애플리케이션을 체계적으로 보호하는 데에 많은 도움을 받을 수 있을 것이다.


[ 부록 CD 포함 ]
- 각종 무료 웹 보안 테스팅 툴
- 직접 기능을 확장하고 변경 가능한 툴의 전체 소스를 하나 제공함
- 웹 사이트의 보안 취약점을 직접 테스트 할 수 있도록 보안 취약점을 갖고 있는 웹 사이트의 전체 코드

저자/역자 소개

[ 저자 서문 ]

우리는 지금까지 How to Break.. 시리즈의 다음 책은 어떤 주제에 관한 것이고 언제쯤 그것이 출판될 것인지에 대한 질문을 많이 받아왔습니다. 새롭게 다룰 주제에 대해 우리 독자들 중에서 압도적인 비율의 사람들이 웹 애플리케이션에 대한 주제가 다뤄지기를 바랬습니다. 많은 소프트웨어 테스터들이 이 분야에서 일하고 있으며 앞으로도 계속해서 웹 애플리케이션 자체의 특별한 프로토콜이나 언어를 테스트하게 될 것입니다.

이미 출판된 『How to Break Software』(Addison-Wesley, 2002)와 『How to Break Software Security』(Addison-Wesley, 2003)에서 다룬 내용 중 많은 부분을 웹 애플리케이션에 적용할 수 있기는 하지만, 인터넷이라고 하는 특별한 환경에서 작동하는 웹 애플리케이션은 그 나름대로의 고유한 문제점들을 만들어 냅니다.

이 책은 그러한 문제점들을 웹 애플리케이션의 보안 이슈 측면에서 어떻게 풀어나가야 하는지를 설명합니다. 이 책이 다루는 내용이 무엇인지 말하기 전에 먼저 이 책이 다루지 않는 것이 무엇인지 설명하겠습니다. 이 책은 『Hacking Exposed』에서 다룬 내용을 그대로 답습하지는 않을 것입니다. 물론 중복되는 해킹 기법이 있을 수 있습니다. 하지만 우리의 목적은 웹 서버나 웹 애플리케이션을 해킹하는 방법을 알려드리고자 하는 것이 아닙니다. 우리의 관심사는 그런 해킹 공격에 악용되기 쉬운 일반적인 결함을 테스트하는 방법에 있습니다.

『웹 애플리케이션 해킹 대작전』은 소프트웨어 개발자, 테스터, 관리자, 품질보증 전문가들이 해커들의 공격을 막는 데 도움을 주기 위한 책입니다. 따라서 이 책에는 해킹 기술에 대한 설명이 포함되어 있습니다.

결국 해커와 맞서기 위해서는 해커가 사용하는 해킹 기술에 대한 이해가 필수적이기 때문입니다. 그래도 이 책은 해킹에 대한 책이라기보다는 테스팅에 대한 책입니다. 이 책의 목적은 문제가 발생하기 쉬운 웹 애플리케이션을 어떻게 테스트하는지 안내하고 문제가 발생할 수 있는 원인을 근절하는 데 있습니다.

아울러 이 책은 웹 애플리케이션을 설계하고 코딩하는 방법을 설명하기 위한 책이 아닙니다. 이런 주제에 대해서는 『Innocent Code』 같은 책에서 잘 다루고 있으며, 각 개발 플랫폼에 따라서 웹 애플리케이션 개발 방법론이 다르다는 것이 고려되어야 합니다. 『웹 애플리케이션 해킹 대작전』은 웹 애플리케이션을 설계하고 코딩하는 데에 있어서 주의해야 할 많은 정보를 포함하고 있습니다. 따라서 웹 개발자는 그들의 안전한 웹 프로그래밍을 위해서 이러한 정보들을 참조해야 합니다.

또한 이 책은 웹 애플리케이션 테스터가 특정한 공격에 대해 자신의 애플리케이션을 테스트하는 데 도움을 주고자 합니다. 우리는 악의적인 입력, 검증을 우회하는 방법 그리고 허가 검사에 대한 전형적인 예뿐만 아니라 특정한 설정/언어/구조로부터 어떤 문제점들이 발생하는지 살펴볼 것입니다. 어디에서 문제점을 찾을 것인지, 발견한 문제점을 어떻게 테스트 할 것인지, 그리고 그런 문제점들이 발생하지 않게 하려면 어떻게 해야 하는지, 이러한 모든 것을 간단한 형태로 보여줄 것입니다. 『웹 애플리케이션 해킹 대작전』은 웹 기반 애플리케이션을 테스트하기 위해 필요한 정보와 영감을 얻을 수 있는 종합 백화점 같은 역할을 하고자 합니다.


[ 저자 소개 ]

마이크 앤드류스
소프트웨어 보안 전문가인 마이크는 Foundstone의 선임 컨설턴트로서 재직 중이며 웹 애플리케이션 보안 평가와 Ultimate Web Hacking 교육을 담당하고 있다. 관련 분야에 대한 집필과 강연자로서의 왕성한 활동을 하고 있으며 포춘 500대 기업에 드는 다양한 기업에 대한 독자적인 보안 점검을 수행했다.

제임스 A. 휘태커
플로리다 공과대학의 컴퓨터공학과 교수로서 Security Innovation의 설립자이기도 하다. 그의 소프트웨어 보안과 테스팅에 관한 방법론은 보안 의식이 있는 수백 개 기관에서 널리 사용되고 있다. 『How to Break Software』(Addison-Wesley, 2002)와 『How to Break Software Security』(Addison-Wesley, 2003, Hugh Thompson과 공저)를 집필했으며 관련 전문 잡지 등에 많은 글과 논문을 발표했다.


[ 역자 서문 ]

오늘날 우리는 인터넷이 없으면 아무것도 할 수 없고, 인터넷 없는 생활은 상상하기 힘들 정도로 세상은 급속히 변화해가고 있다. 인터넷, 웹은 앞으로도 우리에게 무한하고도 잠재적인 기회의 장이며 웹으로 인해 우리의 삶 또한 엄청난 영향을 받을 것이다. 일반적으로 우리는 인터넷의 기능성에 의해서 많은 혜택과 편리함을 영유하고 있는 것이 사실이다. 하지만 절대 간과해서는 안 되는 것은 인터넷이 양날의 칼과 같은 존재가 될 수 있다는 것이다. 인터넷이 악의적으로 사용된다면 그에 따른 파장은 상상하기 힘들 정도다. 극단적으로 ‘재앙’이라는 단어를 사용하는 것도 그렇게 무리는 아닐 것이다. 지금도 그렇지만 앞으로는 모든 정보의 흐름이 인터넷을 통해서 이뤄질 것이고, 인터넷의 모든 정보를 제어하는 빅브라더의 출현이 현실로 다가올 수도 있을 것이다.

우리는 지금까지 인터넷이 주는 햇살만을 받아왔다. 아니 정확히 말하자면, 인터넷의 음지를 많이 경험해보지 못했다는 표현이 맞을 것이다. 하지만 요즘에는 언론 매체나 다양한 경로를 통해 인터넷을 통한 피해 사례가 증가하고 있음을 알 수 있다. 그러한 인터넷의 음지는 곧 ‘보안’이라는 이슈에 귀착된다. 지금은 인터넷 보안, 다시 말하면 웹 보안이 그 어느 때보다도 중요하고 관심을 받아야 하는 시기이다. 웹에 대한 악의적인 행위는 너무나도 다양하다. 요즘에는 기술적인 취약점을 이용하는 공격보다는 오히려 사회공학적 공격이 더욱더 문제시되고 있으며 그런 공격을 방어하기가 더욱 어려운 것이 현실이다. 지금의 보안은 어떤 시스템이나 기술을 이용한 보안만으로는 부족하며 다양하고 포괄적인 측면에서 접근과 방어가 이뤄져야 한다. 또한 ‘보안’이라고 하면 무조건 어렵다는 선입견에서 벗어나야 하며 누구나 어느 정도의 보안 의식은 가지고 있어야 한다.

그런 의미에서 이 책은 비록 웹 애플리케이션에 대한 보안 주제만을 다루고 있으며 전체적으로 기술적인 내용을 서술하고 있긴 하지만 다른 보안 관련 책에 비해 각 공격 주제에 대해 비교적 쉽고 명확하게 설명하고 있다. 이 책에서 소개하는 공격 방법이 현재의 모든 공격방법을 망라하고 있는 것은 아니지만, 가장 기본적인 공격 방식에 대한 이해가 바탕이 되어야 최신의 공격 방법을 이해할 수 있을 것이다.

이 책은 또한 웹 보안에 대한 명확한 이해와 테스트 방법, 그리고 그에 대한 해결책까지 제시하려 노력하고 있다. 웹 애플리케이션 관련 종사자뿐만 아니라 보안 전문가에게도 웹 보안의 기본을 다시금 되새겨줄 수 있는 좋은 기회가 될 것이다.


[ 역자 소개 ]

윤근용
바이러스 보안업체를 거쳐 현재는 시스템 프로그래머로서 각종 보안 관련 소프트웨어를 개발하고 있다.


[ 추천의 글 ]

웹이 없는 생활을 상상할 수 있을까요?

웹 포털 사이트에 들어가서 뉴스를 보고, 웹 메일 사이트에 접속해 메일을 확인하는 일은 대부분 사람들의 일상사가 되었습니다. 게다가 대부분의 회사들은 홈페이지를 운영하고 있고 자신의 홈페이지나 블로그를 운영하는 일반인도 점점 늘어나고 있습니다. 차세대 웹인 웹 2.0에 대한 다양한 논의가 활발히 이뤄지고 있는 요즘, 웹 서버와 그 위에서 동작하는 웹 애플리케이션을 안전하게 보호하는 것은 현재 보안업계의 가장 뜨거운 관심사 중 하나입니다. 특히 단순한 홍보용 홈페이지뿐만 아니라 기업용 소프트웨어가 점점 웹 기반으로 옮겨가고 있기 때문에 웹의 보안 수준을 평가하고 방어 조치를 취하는 것은 매우 중요한 관심사가 됐습니다.

그런데 웹 개발과 관련된 사람들은 일반적으로 웹 보안에 잘 신경을 쓰지 않습니다. 웹은 단순히 디자인을 예쁘게 하고 내용만 충실히 만들면 된다고 생각하기 때문입니다. 하지만 최근 들어 웹 해킹이 잦아지고 있으며 그 수는 더욱 늘어날 것입니다. 웹 해킹은 일반 해킹보다 비교적 쉽고, 그 효과가 명백히 드러나기 때문입니다. 게다가 웹 해킹을 하기 위해서는 웹 브라우저 말고는 별다른 툴이 그다지 많이 필요하지 않습니다.

『웹 애플리케이션 해킹 대작전』은 자칫 무거울 수도 있는 웹 보안 개념을 매우 쉽게 설명하며, 실제로 웹 사이트의 보안성을 테스트할 수 있는 지침과 공격을 막을 수 있는 도움말, 그리고 예제 사이트를 제공합니다. 책의 내용을 하나 하나 적용해 보고, 취약점을 발견했을 때 이 책에 나온 방어법을 적용한다면, 웹 사이트 해킹을 막는 일이 그다지 어렵지 않음을 알게 될 것입니다. 다른 어떤 웹 보안 책보다도 이 책은 다양한 주제를 알기 쉽게 설명했습니다. 웹 개발자, 관리자, 기획자를 비롯한 웹 개발과 관련된 모든 사람들에게 이 책이 많은 도움이 되기를 바랍니다.

강유 / 에이콘 해킹 보안 시리즈 에디터

목차

목차
  • 1장 웹이 특별한 이유 1
    • 1장에서 다루는 내용 1
    • 개요 1
    • 월드와이드웹 2
    • 웹 유토피아의 가치 5
    • 웹과 클라이언트/서버 5
    • 웹 애플리케이션을 위한 결함 모델 8
      • 웹 서버 9
      • 웹 클라이언트 9
      • 네트워크 10
      • 결론 10

  • 2장 목표물에 대한 정보 수집 11
    • 2장에서 다루는 내용 11
    • 개요 11
      • 공격 1 사금 채취 12
      • 공격 2 파일과 디렉토리 추정 20
      • 공격 3 예제 애플리케이션의 보안 취약점 26
  • 3장 클라이언트 공격 29
    • 3장에서 다루는 내용 29
    • 개요 29
      • 공격 4 입력 선택 제한 회피 30
      • 공격 5 클라이언트에서의 검증 회피 35
  • 4장 상태 기반 공격 41
    • 4장에서 다루는 내용 41
    • 개요 41
      • 공격 6 숨은 필드 42
      • 공격 7 CGI 인자 46
      • 공격 8 쿠키 조작 51
      • 공격 9 URL 건너뛰기 55
      • 공격 10 세션 가로채기 59
  • 5장 사용자 입력 데이터 공격 65
    • 5장에서 다루는 내용 65
    • 개요 65
      • 공격 11 크로스 사이트 스크립팅 66
      • 공격 12 SQL 삽입 74
      • 공격 13 디렉토리 노출 80
  • 6장 언어 기반 공격 85
    • 6장에서 다루는 내용 85
    • 개요 85
      • 공격 14 버퍼 오버플로우 86
      • 공격 15 정규화 90
      • 공격 16 널 문자열 공격 95
  • 7장 서버 공격 99
    • 7장에서 다루는 내용 99
    • 개요 99
      • 공격 17 SQL 삽입 II - 저장 프로시저 100
      • 공격 18 명령 삽입 103
      • 공격 19 핑거프린팅 공격 106
      • 공격 20 서비스 거부 112
  • 8장 인증 115
    • 8장에서 다루는 내용 115
    • 개요 115
      • 공격 21 암호 해독 116
      • 공격 22 인증 파괴 121
      • 공격 23 크로스 사이트 트레이싱 125
      • 공격 24 암호 기법 약화시키기 129
  • 9장 프라이버시 135
    • 9장에서 다루는 내용 135
    • 개요 135
    • 사용자 에이전트 136
    • 리퍼러 139
    • 쿠키 140
    • 웹 버그 142
    • 클립보드 접근 143
    • 페이지 캐싱 144
    • 액티브X 컨트롤 146
    • 브라우저 헬퍼 오브젝트 147
  • 10장 웹 서비스 149
    • 10장에서 다루는 내용 149
    • 개요 149
    • 웹 서비스란? 149
      • XML 150
      • SOAP 151
      • WSDL 152
      • UDDI 153
    • 위협 154
      • WSDL 스캔 공격 154
      • 인자 조작 155
      • XPATH 삽입 공격 155
      • 재귀 페이로드 공격 157
      • 대형 페이로드 공격 158
      • 외부 객체 공격 158
  • 부록 A 소프트웨어 50년: 소프트웨어 품질을 위한 핵심 요소 159
    • 1950~1959: 기원 160
    • 1960~1969: 대이동 161
    • 1970~1979: 혼돈의 시대 162
    • 1980~1989: 회복기 163
      • CASE 툴 164
      • 정형 기법 164
    • 1990~1999: 프로세스 165
    • 2000~2009: 엔지니어링 167
  • 부록 B Flowershop 버그 173
  • 부록 C 툴 179
    • TextPad 179
    • Nikto 180
    • Wikto 184
    • Stunnel 189
    • BlackWidow 191
    • Wget 193
    • cURL 195
    • Paros 198
    • SPIKE Proxy 200
    • SSLDigger 204

관련 블로그 글

웹 애플리케이션 해킹책 역자분들을 만났습니다.

여러분은 "에이콘"하면 언뜻 무슨 책이 떠오르세요? 흠, 어떤 책들을 꼽을지는 대강 짐작이 갑니다만, 그것도 저마다 관심있는 분야, 업무영역에 따라 다양하겠지요. 그렇다면 에이콘의 대표 시리즈는 무슨 시리즈가 떠오르세요? 저희는 특정 기획서보다는 분야에 따라서 시리즈를 나눕니다. 대표적으로 에이콘을 독자분께 각인시켜드리기 시작한 임베디드 시스템 프로그래밍 시리즈, 웹표준을 필두로 시작한 웹 프로페셔널 시리즈, 심도 있는 이클립스 책들을 소개하고 있는 이클립스 프로페셔널 시리즈 등 여러 가지를 꼽을 수 있겠지요.

사용자 삽입 이미지

오랜만에 해킹 보안시리즈를 멋지게 장식할 훌륭한 책이 한 권 나옵니다. 웹 애플리케이션 해킹 대작전이 부제로 달고있는 "웹 개발자가 꼭 알아야 할 웹 취약점과 방어법"이라는 문구처럼 이 책에서는 웹 보안에서 가장 염두에 둬야 할 기본적인 사항을 훑어주고 있습니다. 보안에 관한 기본 지식이 미비한 분들에게는 입문서로서의 역할을 톡톡히 해줍니다만, 좀더 심도 있는 내용을 요하는 독자분들에게는 뭔가 2% 부족한 느낌이 들었던 게 사실이죠. 아마존닷컴 독자서평 등이나 판매순위, 목차를 살펴보아도 이 책이 웹 해킹보안에 관심있는 분들이라면 침을 꿀꺽 삼킬 만한 내용이 가득합니다. 웹 보안의 개론, 코드 방어 메커니즘, 웹애플리케이션의 기본 이해부터 시작해 동전의 양면과도 같은 웹 보안의 취약점과 해킹 공격 등, 웹 해커의 툴킷과 방법론까지 웹 보안에 대한 바이블과도 같은 책입니다.

이 책은 와이어샤크를 활용한 실전 패킷 분석을 번역한 김경곤님과 장은경님이 다른 두 분 역자와 함께 번역을 하고 있습니다. 강유씨를 필두로, 루트킷 등 이미 3권의 해킹 보안책을 번역한 윤근용님, 윈도우 비스타 보안 프로그래밍을 김홍석님과 함께 에이콘의 해킹보안책을 책임지고 있는 역자분들이시죠. 나오지도 않은, 아직 출간일도 잡히지 않은 책을 왜 이렇게 광고를 해댈까요?

이 책 The Web Application Hacker's Handbook을 번역하고 있는 역자 네 분 중 두 분이 제가 휴가차 들른 따뜻한 남쪽나라에 마침 살고 계셔서 휴가 마지막날 잠시 짬을 내어 어제 저녁식사를 함께 했었거든요.
사용자 삽입 이미지
조도근님은 서울대에서 경영학을 전공한 후에 지금은 뜻한 바 꿈을 이루기 위해 이곳 블로그에서는 밝힐 수 없는 모두가 선망하는 모 기업에서 회계관련 일을 함께 하고 계십니다. 해킹에 관한 블로그를 탐독할 정도로 해킹 보안에 관심이 높아 김경곤님과 함께 A3시큐리티 컨설팅에서 함께 일한 인연으로 번역을 함께 참여하게 됐다고 합니다.
사용자 삽입 이미지
장은경님은 대화를 해보면 영문학을 전공하고 있고, 고등학교때부터 해킹대회에 참여할 정도로 야무진 분입니다. 20대 초반의 앳된 아가씨라고는 생각할 수 없을 만큼 사려가 깊고 정말 똑똑한 처자라서 얘기를 함께 나누면 제 정신연령이 낮은 건지 이 처자가 눈높이가 높은 건지 말이 참 잘 통합니다(제 생각인지도 모르겠지만요 --a) 여기서 짬을 내어 만나지 않으면 쉽게 만나뵐 수 없는 역자분들인지라 잠시간의 만남이지만 에이콘을 매개로 즐거운 이야기를 함께 나눈 소중한 시간이었습니다.

2002년 해킹 보안 시리즈의 첫삽을 뜬 리눅스 해킹 퇴치 비법부터 작년 12월에 출간된 와이어샤크를 활용한 실전 패킷 분석까지. 에이콘의 해킹 보안 시리즈는 그간 음지에서 양지를 지향(!)하는 튼실한 해킹보안 책들을 꾸준히 펴내왔습니다. 거기에는 14권(그중 2권은 해킹 보안 책이 아니네요)의 책을 번역하고 1권을 집필한 강유라는 걸출한 역자가 든든히 뒤를 받쳐주기도 했습니다. 지금은 카네기멜론 대학에서 유학중인 강유님은 해킹보안에 관심이 없는 독자라도 그 이름을 익히 들어 알고 있을 만큼 에이콘의 기둥같은 역자분이기도 하죠.

기술서를 번역하는 데 가장 중요한 기술 기반에 대한 지식에 대해 말씀드렸듯이 각 시리즈나 분야별로 대표적인 역자나 저자분들이 있게 마련입니다. 굳이 이름을 들어 말씀드리지 않더라도, 혹 저희 출판사가 아니더라도 각 분야에서 두각을 나타내는 분들이 계시고 그 명성은 곧 책의 품질과 직결되기도 합니다. 그래서 각 분야에 훌륭한 필자분들을 발굴해내는 것도 출판사로서는 더없는 재산이기도 하죠.
사용자 삽입 이미지
한국에서는 만나뵐 수 없는 분들인지라 만날 것을 염두에 두고 갔었던지라 저희 책 "프리젠테이션 젠"과 "초난감 기업의 조건"을 전해드렸더니 많이 기뻐하셨습니다. (맞죠? 기쁘셨던 것...^^;) 세계로 뻗어가는 에이콘 역자진. 세계 곳곳에 포진해있는 우리 역자분들(아직 저자는 없으신 듯) 모두 건강하시구요. 자주 뵙지는 못하지만 늘 마음만은 함께 한다는 것, 기억해주세요. 참, 저를 만나고 싶으시면 특별 면담 신청해주세요. 그러면 저희 사장님이 특별 출장 보내시지 않을까요? 참, 제주도부터 가야 할 텐뎅... --;

참, 내일입니다. 브이코아가 주최하는 블로그 히어로즈 역자 최윤석님과의 만남. 드디어 내일 아침 9시30분 강남역에 있는 브이코아에서 열립니다. 오시는 길은 여기를 참조하세요. 많이 많이 오세요! 깜짝 선물이 있을지도 몰라요~.^^
CC

크리에이티브 커먼즈 라이센스 이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

[마감중] 『웹 애플리케이션 해킹 대작전』
(마이크 앤드류스 외저, 윤근용 역, 강유 감수, 25,000원, 1월 30일 출간)

역자와 감수자와의 핫라인을 열어두고 『웹 애플리케이션 해킹 대작전: 웹 개발자가 꼭 알아야 할 웹 취약점과 방어법』마감 작업에 한창입니다.

한국어판의 출간을 앞두고 이 책의 원서가 2007년 Jolt 상 Book (Technical 부문) 후보에도 오르는 좋은 일이 생겼네요. 책의 시리즈 에디터이자 감수를 봐준 강유님이 블로그에 쓴 대로 보안 관리자는 물론, 웹 개발자, 기획자, 웹 관리자 모두 필독해야 할 책입니다. 『구글해킹』을 읽은 독자라면 더욱 흥미진진하게 읽을만한 책입니다.

웹 사이트에 비밀번호를 변경할 때 두 번씩 입력하는 경우가 있죠. 그럴 때 저만 해도 몸에 익은 구차니즘 덕분에 Ctrl 키와 C키, V키를 재빠르게 손놀림하여 복사 - 붙여넣기로 하는 적이 한두번이 아니었습니다. 이 책의 9장. 프라이버시를 읽고나니 다시는 그런 짓을 하면 안되겠구나 하는 생각이 드는군요. (저만 몰랐던 건가요?;;;)

글을 매끈하게 번역해주신 역자 윤근용님 고생 많으셨구요. 책을 꼼꼼히 감수해주고 시시때때로 날리는 메시지에도 답 잘 해주고 이 한밤중에도 오류를 잘 찾아준 에이콘의 에이스이자 특급 구원투수 강유님 고마워요.

(왼쪽: 강유님 / 오른쪽: 윤근용님 사진)

<<마감중 후기>>

마감과 출간과 마감과 출간... 블로그 글 제목만 보면 그저 나른한 일과의 연속일 듯도 하지만!!! 팝콘과 크림치즈 베이글과 아이스크림이 책상위에 한가득 쌓아놓고 에이콘의 일상은 나름대로 참~ 다이내믹합니다. ^^ (배고픈 독자분이 계실까봐 사진은 생략합니다. :) 좀전에는 사장님이 산타아저씨처럼 직원들에게 천원짜리 신권을 뿌리고~ 가시는 화끈 이벤트도 열어주시는군요. ㅎㅎ

제 기억이 맞다면 오늘는 오래 전부터 메모해놓은 에릭 클랩튼의 내한공연일인데, 스피커에 Layla를 빵빵하게 틀어놓는 걸로 만족해야 할 것 같군요. 아함~ -0-

(글을 쓰다가 다른 작업하고 돌아오니 벌써 어제가 되어버렸네요.)
CC

크리에이티브 커먼즈 라이센스 이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

요즘 재미있게 일하고 있는 책
How to Break Web Software』의 한국어판인 『웹 애플리케이션 해킹 대작전』(가제)의 원고를 열심히 읽고 있습니다. 과감히 "웹 소프트웨어를 깨부수는 방법"이라는 원제가 붙은 책입니다.

이 책에서는 웹 애플리케이션을 설계하고 코딩하는 데에 있어서 주의해야 할 많은 정보가 들어 있습니다. 악의적인 입력, 검증을 우회하는 방법과 허가 검사에 대한 전형적인 예뿐만 아니라, 특정한 설정/언어/구조로부터 어떤 문제점들이 발생하는지 살펴볼 것입니다.
사실 해킹과 보안 서적을 어느 한쪽 분야에 속한다고 딱히 양분하기란 쉽지 않습니다. 하지만 해킹과 보안은 동전의 양면과도 같다는 걸 너무도 잘 아는 명민한 독자들은 자신들이 취하고 싶은 내용을 정확히 낚아 챕니다. 우리 책 『구글 해킹』이나 『네트워크를 훔쳐라』에서도 마찬가지이지만 해킹을 주제로 보안에 대한 내용을 에둘러 설명하는 책들은 무슨 이유에선지(!) 역시나 인기몰이를 하더군요.

저희 편집자 수준에도 쉽게 읽히고 재미있는 걸 보면 독자여러분께 적지않이 사랑 받으리라는 생각이 듭니다. N모사에서 보안 업무를 맡고있는 윤근용님이 번역하고 강유님이 감수한 이 책, 열심히 읽고 1월중에 출간해야 할텐데;;;. 이 책도 기대해주세요~!
CC

크리에이티브 커먼즈 라이센스 이 저작물은 크리에이티브 커먼즈 코리아 저작자표시 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

도서 오류 신고

도서 오류 신고

에이콘출판사에 관심을 가져 주셔서 고맙습니다. 도서의 오탈자 정보를 알려주시면 다음 개정판 인쇄 시 반영하겠습니다.

오탈자 정보는 다음과 같이 입력해 주시면 됩니다.

(예시) p.100 아래에서 3행 : '몇일'동안 -> 며칠동안

정오표

[ p44 코드 부분 ]

6행
if (string.Compare(tag.tagName,?INPUT?,true) == 0)
→ if (string.Compare(tag.tagName, "INPUT", true) == 0)

11행
if (inputTag.type==?hidden?)
→ if (inputTag.type=="hidden")

13~14행
Console.Write(?hidden form field ??+inputTag.name+???+
      ?found. Value is ??+ inputTag.value+?? ?
→ Console.Write("hidden form field : "+inputTag.name+", "+
      "found. Value is : "+ inputTag.value);