책 이미지
책 정보
· 분류 : 국내도서 > 컴퓨터/모바일 > OS/Networking > 네트워크 보안/해킹
· ISBN : 9788960775114
· 쪽수 : 1256쪽
책 소개
목차
1부 소프트웨어 보안 평가 소개
1장 소프트웨어 기본 취약점
___소개
___취약점
______보안 정책
______보안 요구 사항
___감사의 필요성
______코드 감사와 블랙박스 테스트
______코드 감사와 개발 라이프 사이클
___취약점 분류
______설계 취약점
______구현 취약점
______운영 취약점
______구별의 애매모호함
___공통점
______입력과 데이터 흐름
______신뢰 관계
______가정과 잘못된 신뢰
______인터페이스
______환경 공격
______예외 조건
___정리
2장 설계 검토
___소개
___소프트웨어 설계의 기본
______알고리즘
______추상화와 분해
______신뢰 관계
______소프트웨어 설계의 원칙
______설계 결함
___보안 정책 강화
______인증
______인가
______책임 추적성
______기밀성
______무결성
______가용성
___위협 모델링
______정보 수집
______애플리케이션 아키텍처 모델링
______위협 식별
______발견한 위협의 문서화
______구현 리뷰에 대한 우선순위 매기기
___정리
3장 운영 검토
___소개
___취약점 노출
______공격 영역
______안전하지 않은 초기 설정
______접근 제어
______불필요한 서비스
______보안 채널
______스푸핑과 식별
______네트워크 프로파일
___웹과 관련된 고려 사항
______HTTP 요청 방법
______디렉토리 인덱싱
______파일 처리기
______인증
______기본 사이트 설치
______너무 자세한 에러 메시지
______대중화된 관리자 인터페이스
___보호 대책
______개발 대책
______호스트 기반 대책
______네트워크 기반 대책
___정리
4장 애플리케이션 검토 프로세스
___소개
___애플리케이션 검토 프로세스의 개요
______근거
______프로세스 개요
___사전 평가
______범위 산정
______애플리케이션 접근
______정보 수집
___애플리케이션 검토
______단순 검토의 회피
______반복 프로세스
______초기 준비
______계획
______작업
______반영
___문서화와 분석
___보고와 치료 지원
___코드 탐색
______외부 흐름 민감도
______추적 방향
___코드 감사 전략
______코드 이해 전략
______후보 지점 전략
______설계 일반화 전략
___코드 감사 기법
______내부 흐름 분석
______서브시스템과 의존성 분석
______코드 다시 읽기
______탁상 검사
______테스트 케이스
___코드 감사자의 도구상자
______소스코드 탐색기
______디버거
______이진 탐색 도구
______퍼지 테스팅 도구
___사례 연구: OpenSSH
______사전 평가
______구현 분석
______고수준 공격
______결과의 문서화
___정리
2부 소프트웨어 취약점
5장 메모리 오염
___소개
___버퍼 오버플로우
______프로세스 메모리 레이아웃
______스택 오버플로우
______힙 오버플로우
______Off-by-One 에러
______전역, 정적 데이터 오버플로우
___셸코드
______코드 작성법
______메모리에서 코드 찾기
___보호 메커니즘
______스택 쿠키
______힙 구현 강화
______비실행 스택과 힙 보호
______주소 공간 구조 랜덤화
______SafeSEH
______함수 포인트 난독화
___메모리 오염의 영향 평가
______메모리에서 버퍼의 위치
______다른 데이터로 덮어쓰기 되는 것
______덮어쓰기가 가능한 바이트 수
______메모리를 오염시키는 데 사용될 수 있는 데이터
______메모리 블록의 공유
______적용해야 할 보호
___정리
6장 C 언어 이슈
___소개
___C 언어 배경
______데이터 저장 개요
______바이너리 인코딩
______바이트 오더
______보편적 구현
___산술적 경계 조건
______부호 없는 정수 경계
______부호 있는 정수 경계
___형 변환
______개요
______변환 규칙
______단순 변환
______정수 승격
______정수 승격의 응용
______일반 산술 변환
______일반 산술 변환 응용
______형 변환 요약
___형 변환 취약점
______부호 있는/부호 없는 변환
______부호 확장
______절단
______비교
___연산자
______sizeof 연산자
______예상하지 못한 결과
___포인터 연산
______포인터 개요
______포인터 연산 개요
______취약점
___기타 C 특성
______연산 순서
______구조체 패딩
______우선순위
______매크로/전처리기
______오탈자
___정리
7장 프로그램 구성 요소
___소개
___감사 변수의 사용
______변수의 관계
______구조체와 객체의 잘못된 처리
______변수 초기화
______산술 연산 경계
______변수 타입 혼동
______리스트와 테이블
___제어 흐름 감사
______반복문의 구조
______흐름 전환 구문
______Switch 구문
___함수 감사
______함수 감사 로그
______반환 값의 확인과 해석
______함수 부수 효과
______인자의 의미
___메모리 관리에 대한 감사
______ACC 로그
______할당 함수
______할당자의 스코어카드와 에러의 영역
______이중 메모리 해제
___정리
8장 문자열과 메타문자
___소개
___C 언어의 문자열 처리
______범위가 제한되지 않은 문자열 함수
______범위를 제한하는 문자열 함수
______일반적인 이슈
___메타문자
______삽입된 구분자
______NUL 문자 주입
______절단
___일반적인 메타문자 형식
______경로 메타문자
______C 형식 문자열
______셸 메타문자
______펄 open()
______SQL 질의
___메타문자 필터링
______메타문자 제거
______이스케이프 메타문자
______메타문자 회피
___문자 집합과 유니코드
______유니코드
______윈도우 유니코드 함수
___정리
9장 유닉스 I: 권한과 파일
___소개
___유닉스 기초
______사용자와 그룹
______파일과 디렉토리
______프로세스
___권한 모델
______권한 프로그램
______사용자 ID 함수
______그룹 ID 함수
___권한 취약점
______권한의 무모한 사용
______영구적인 권한 제거
______임시 권한 제거
______감사 권한 관리 코드
______권한 확장
___파일 보안
______파일 ID
______파일 권한
______디렉토리 권한
______파일 운영과 권한 관리
______파일 생성
______디렉토리 안정성
______파일명과 경로
______위험한 장소
______흥미로운 파일
___파일 내부
______파일 디스크립터
______inode
______디렉토리
___링크
______심볼릭 링크
______하드 링크
___경쟁 상태
______검사 시점과 사용 시점
______stat() 함수 계열
______돌아온 파일 경쟁
______권한 상승
______소유권 상승
______디렉토리 권한 획득
___임시 파일
______고유 파일 생성
______파일 재사용
______임시 디렉토리 청소
___표준 입출력 파일 인터페이스
______파일 열기
______파일에서 읽기
______파일에 쓰기
______파일 닫기
___정리
10장 유닉스 II: 프로세스
___소개
___프로세스
______프로세스 생성
______fork() 변형 모델
______프로세스 종료
______fork()와 파일 오픈
___프로그램 호출
______직접 호출
______간접 호출
___프로세스 속성
______프로세스 속성 유지
______리소스 제한
______파일 디스크립터
______환경 배열
______프로세스 그룹, 세션, 터미널
___프로세스 간 통신
______파이프
______명명된 파이프
______시스템 V IPC
______유닉스 도메인 소켓
___원격 프로시저 호출
______RPC 정의 파일
______RPC 디코딩 경로
______인증
___정리
11장 윈도우 I: 객체와 파일 시스템
___소개
___배경
___객체
______객체 네임스페이스
______객체 핸들
___세션
______보안 ID
______로그온 권한
______액세스 토큰
___보안 기술자
______액세스 마스크
______ACL 상속
______기술자 프로그래밍 인터페이스
______ACL 권한 감사
___프로세스와 스레드
______프로세스 로딩
______ShellExecute와 ShellExecuteEx
______DLL 로딩
______서비스
___파일 접근
______파일 권한
______파일 I/O API
______링크
___레지스트리
______키 권한
______키와 값 스쿼팅
___정리
12장 윈도우 II: 프로세스 간 통신
___소개
___윈도우 IPC 보안
______리다이렉터
______가장
___윈도우 메시징
______윈도우 스테이션 객체
______데스크톱 객체
______윈도우 메시지
______섀터 공격
______DDE
______터미널 세션
___파이프
______파이프 권한
______명명된 파이프
______파이프 생성
______파이프에서의 가장
______파이프 스쿼팅
___메일슬롯
______메일슬롯 권한
______메일슬롯 스쿼팅
___원격 프로시저 호출
______RPC 연결
______RPC 전송
______마이크로소프트 인터페이스 정의 언어
______IDL 파일 구조
______애플리케이션 설정 파일
______RPC 서버
______RPC에서의 가장
______컨텍스트 핸들과 상태
______RPC에서의 스레드
______RPC 애플리케이션 감사
___COM
______COM: 빠른 지침서
______DCOM 설정 유틸리티
______DCOM 서브시스템 접근 권한
______DCOM 접근 제어
______DCOM에서의 가장
______MIDL 다시 살펴보기
______액티브 템블릿 라이브러리
______DCOM 애플리케이션 감사
______COM 등록 리뷰
______액티브X 보안
___정리
13장 동기화와 상태
___소개
___동기화 문제
______재진입과 비동기 안전 코드
______경쟁 상태
______기아 상태와 교착 상태
___프로세스 동기화
______시스템 V 프로세스 동기화
______윈도우 프로세스 동기화
______내부 프로세스 동기화의 취약점
___신호
______신호 전송
______신호 처리
______위치 점프
______신호 취약점
______신호 스코어보드
___스레드
______PThreads API
______윈도우 API
______스레딩 취약점
___정리
3부 소프트웨어 취약점 사례
14장 네트워크 프로토콜
___소개
___인터넷 프로토콜
______IP 주소 기초
______IP 패킷의 구조
______IP 헤더 검증 기초
______IP 옵션 처리
______발신지 라우팅
______단편화
___UDP
______기본적인 UDP 헤더 검증
______UDP 이슈
______전송 제어 프로토콜
______기본적인 TCP 헤더 검증
______TCP의 옵션 처리
______TCP 커넥션
______TCP 스트림
______TCP 처리
___정리
15장 방화벽
___소개
___방화벽 개요
______프록시와 패킷 필터
______공격 지점
______프록시 방화벽
______패킷 필터링 방화벽
___상태 비보존 방화벽
______TCP
______UDP
______FTP
______단편화
___간단한 상태 보존 방화벽
______TCP
______UDP
______방향성
______단편화
___상태 보존 인스펙션 방화벽
______계층화 이슈
___스푸핑 공격
______떨어진 곳에서의 스푸핑
______근거리에서의 스푸핑
______멀리 떨어진 곳에서의 유령 공격
___정리
16장 네트워크 응용 프로토콜
___소개
___응용 프로토콜 감사
______문서 수집
______알려지지 않은 프로토콜의 요소 확인
______데이터 타입과 프로토콜 매치
______데이터 검증
______시스템 리소스 접근
___하이퍼텍스트 전송 규약
______헤더 해석
______리소스 접근
______유틸리티 함수
______데이터 포스팅
___인터넷 보안 연합과 키 관리 프로토콜
______페이로드
______페이로드 유형
______암호화 취약점
___추상 구문 기법(ASN.1)
______기본 인코딩 규칙
______표준 인코딩과 식별 인코딩
______BER, CER, DER 구현의 취약점
______묶음 인코딩 규칙(PER)
______XML 인코딩 규칙
______XER 취약점
___도메인 네임 시스템
______도메인 네임과 리소스 레코드
______네임 서버와 리졸버
______영역
______리소스 레코드 규약
______기본 사용 사례
______DNS 프로토콜 구조 입문
______DNS 네임
______길이 변수
______DNS 스푸핑
___정리
17장 웹 애플리케이션
___소개
___웹 기술 개요
______기본
______정적 콘텐츠
______CGI
______웹 서버 API
______서버 측 인클루드
______서버 측 변환
______서버 측 스크립팅
___HTTP
______개요
______버전
______헤더
______메소드
______매개변수와 폼
___상태(State)와 HTTP 인증
______개요
______클라이언트 IP 주소
______레퍼러 요청 헤더
______HTML과 URL에 상태 삽입
______HTTP 인증
______쿠키
______세션
___아키텍처
______중복
______프레젠테이션 로직
______비즈니스 로직
______다층 구조
______비즈니스 계층
___웹 계층: 모델-뷰-컨트롤러
___문제 영역
______클라이언트 관점
______클라이언트 제어
______페이지 흐름
______세션
______인증
______인가와 접근 제어
______암호화와 SSL/TLS
______피싱과 위장
___일반 취약점
______SQL 인젝션
______운영체제와 파일 시스템 상호작용
______XML 인젝션
______XPath 인젝션
______크로스사이트 스크립팅
______스레딩 이슈
______C/C++ 문제
___웹의 척박한 현실
___점검 전략
___정리
18장 웹 테크놀로지
___소개
___웹 서비스와 서비스 지향 아키텍처
______SOAP
______REST
______AJAX
___웹 애플리케이션 플랫폼
___CGI
______인덱스된 쿼리
______환경 변수
______경로 혼란
___펄
______SQL 인젝션
______파일 접근
______셸 호출
______파일 포함
______인라인 계산
______크로스사이트 스크립팅
______테인트 모드
___PHP
______SQL 인젝션
______파일 접근
______셸 호출
______파일 포함
______인라인 계산
______크로스사이트 스크립팅
______설정
___자바
______SQL 인젝션
______파일 접근
______셸 호출
______파일 포함
______JSP 파일 포함
______인라인 계산
______크로스사이트 스크립팅
______스레딩 이슈
______설정
___ASP
______SQL 인젝션
______파일 접근
______셸 호출
______파일 포함
______인라인 계산
______크로스사이트 스크립팅
______설정
___ASP.NET
______SQL 인젝션
______파일 접근
______셸 호출
______파일 포함
______인라인 계산
______크로스사이트 스크립팅
______설정
______ViewState
___정리
참고 문헌
