해킹 초보를 위한 웹 공격과 방어

1장 크로스사이트 스크립팅
___HTML 인젝션의 이해
______인젝션 가능 지점 찾기
______XSS 공격 유형
______안전한 문자셋 처리
______오동작을 이용한 필터 우회
______금지 문자는 사용하지 않는 XSS 공격
______브라우저의 특징 고려
______기타 고려 사항
___방어법
______문자셋 명시
______문자셋과 인코딩의 정규화
______출력 인코딩
______제외 목록과 정규식 사용 시 주의점
______코드 재사용(다시 구현하지 말자)
______자바스크립트 샌드박스
___정리

2장 크로스사이트 요청 위조
___크로스사이트 요청 위조의 이해
______강제 브라우징을 이용한 요청 위조
______이미 인증된 사용자 공격
______CSRF와 XSS의 위험한 만남
______POST를 이용한 공격
______다양한 방식으로 접근 가능한 웹
______CSRF의 변형: 클릭재킹
___방어법
______웹 애플리케이션 방어
______웹 브라우저 방어
___정리

3장 SQL 인젝션
___SQL 인젝션의 이해
______질의문 깨부수기
______데이터베이스 정보 추출
______기타 공격 벡터
___방어법
______입력 검증
______질의문 보호
______정보 보호
______데이터베이스 최신 패치 유지
___정리

4장 잘못된 서버 설정과 예측 가능한 웹페이지
___잘못된 서버 설정과 예측 가능한 웹페이지로 인한 공격의 이해
______안전하지 않은 디자인 패턴 식별
______운영체제 공격
______서버 공격
___방어법
______파일 접근 제한
______객체 참조 사용
______취약한 함수의 차단
______권한 확인 의무화
______네트워크 연결 제한
___정리

5장 인증 방식 우회
___인증 공격의 이해
______세션 토큰 재활용
______브루트포스
______스니핑
______암호 초기화
______크로스사이트 스크립팅
______SQL 인젝션
______사용자 속이기
___방어법
______세션 쿠키 보호
______사용자 개입
______사용자 귀찮게 하기
______요청 처리율 제한
______기록과 다중 분석
______추가적인 인증 기법의 사용
______피싱 방어
______암호 보호
___정리

6장 로직 공격
___로직 공격의 이해
______작업 흐름의 오용
______정책과 실무의 허점 공격
______귀납법
______서비스 거부
______취약한 디자인 패턴
______정보 선별
___방어법
______요구 사항 문서화
______광범위한 테스트 케이스 생성
______정책 반영
______방어적 프로그래밍
______클라이언트 검증
___정리

7장 신뢰할 수 없는 웹
___멀웨어와 브라우저 공격의 이해
______멀웨어
______브라우저 플러그인의 다면성
______도메인 네임 시스템과 출처
___방어법
______안전한 웹 서핑
______브라우저 고립
______DNS 보안 확장
___정리