웹 해킹과 보안 설정 가이드

책 이미지

eBook 미리보기

책 정보

· 제목 : 웹 해킹과 보안 설정 가이드 (웹 개발자와 서버 운영자를 위한)
· 분류 : 국내도서 > 컴퓨터/모바일 > OS/Networking > 네트워크 보안/해킹
· ISBN : 9788960775220
· 쪽수 : 292쪽
· 출판일 : 2014-01-29

책 소개

웹 해킹 기법을 소개하고, 홈페이지에서 해당 웹 해킹에 대한 취약점의 존재 여부를 확인하는 방법, 안전한 소스코드 개발 방법과 서버의 보안 설정 방법을 설명한다.

^I부 웹 해킹 기법과 대응 방안

1장 입력 값 조작 공격
1.1 운영체제 명령 실행
1.2 SQL 인젝션
1.3 크로스사이트 스크립팅
___1.3.1 ASP에서의 크로스사이트 스크립팅 취약점 제거
___1.3.2 PHP에서의 크로스사이트 스크립팅 취약점 제거
___1.3.3 JSP에서의 크로스사이트 스크립팅 취약점 제거
1.4 크로스사이트 요청 변조
1.5 파일 업로드
___1.5.1 ASP에서의 파일 업로드 점검
___1.5.2 PHP에서의 파일 업로드 점검
___1.5.3 JSP에서의 파일 업로드 점검
1.6 파일 다운로드
1.7 정리

2장 잘못된 보안 설정
2.1 디렉터리 인덱싱
2.2 정보 누출
2.3 관리자 페이지 노출
___2.3.1 ASP에서의 관리자 IP 인증
___2.3.2 PHP에서의 관리자 IP 인증
___2.3.3 JSP에서의 관리자 IP 인증
2.4 위치 공개
2.5 웹서비스 메소드 설정 공격
2.6 정리

3장 자동화 도구
3.1 브루트포스
3.2 자동화 공격
3.3 정리

4장 취약한 보안 기능
4.1 불충분한 인증
4.2 불충분한 인가
___4.2.1 불충분한 인가 취약점의 확인 방법
___4.2.2 불충분한 인가 취약점의 대응 방안
4.3 불충분한 세션 관리
___4.3.1 불충분한 세션 관리 취약점의 확인 방법
___4.3.2 불충분한 세션 관리 취약점의 대응 방안
4.4 데이터 평문 전송
___4.4.1 데이터 평문 전송 취약점의 확인 방법
___4.4.2 데이터 평문 전송 취약점의 대응 방안
4.5 쿠키 변조
4.6 정리

II부 웹 서버 설정 가이드

5장 IIS 보안 설정
5.1 디렉터리 인덱싱 차단 설정
5.2 웹 서버 정보 누출의 차단 설정
5.3 홈 디렉터리 쓰기 권한의 차단 설정
5.4 파일 업로드 디렉터리 실행 권한의 차단 설정
5.5 사용자 오류 페이지 설정
5.6 메소드 제한 설정
5.7 웹 관리자 페이지 접근 IP 설정
5.8 디폴트 페이지 삭제
5.9 상위 경로로의 이동 차단 설정
5.10 소스 파일이나 설정 파일의 접근 권한 설정
5.11 기타 보안 설정
___5.11.1 세션 타임아웃 설정
___5.11.2 디버깅 오류 메시지 차단
___5.11.3 미사용 스크립트 매핑 제거
___5.11.4 로그 관리

6장 아파치 보안 설정
6.1 디렉터리 인덱싱 차단 설정
6.2 웹 서버 정보 누출 차단 설정
6.3 웹 서버 데몬의 root 권한 구동 제한 설정
6.4 홈 디렉터리의 쓰기 권한 차단 설정
6.5 파일 업로드 디렉터리의 실행 권한 차단 설정
6.6 로그 디렉터리의 일반 사용자 접근 차단 설정
6.7 사용자 오류 페이지 설정
6.8 메소드 제한 설정
6.9 디폴트 페이지 삭제
6.10 소스 파일이나 설정 파일 접근 권한 설정
6.11 웹 관리자 페이지의 접근 IP 설정
6.12 기타 보안 설정
___6.12.1 Access_Log 설정
___6.12.2 심볼릭 링크 사용 제한
___6.12.3 MultiViews 사용 제한
___6.12.4 최신 보안 패치 적용

7장 웹투비 보안 설정
7.1 디렉터리 인덱싱 차단 설정
7.2 웹 서버 정보 누출 차단 설정
7.3 웹 서버 데몬의 root 권한 구동 제한 설정
7.4 홈 디렉터리 쓰기 권한 차단 설정
7.5 로그 디렉터리의 일반 사용자 접근 차단 설정
7.6 사용자 오류 페이지 설정
7.7 메소드 제한 설정
7.8 디폴트 페이지 삭제
7.9 소스 파일이나 설정 파일의 접근 권한 설정

8장 아이플래닛 보안 설정
8.1 디렉터리 인덱싱 차단 설정
8.2 웹 서버 정보 누출 차단 설정
8.3 웹 서버 데몬의 root 권한 구동 제한 설정
8.4 홈 디렉터리 쓰기 권한 차단 설정
8.5 로그 디렉터리의 일반 사용자 접근 차단 설정
8.6 사용자 오류 페이지 설정
8.7 메소드 제한 설정
8.8 웹 관리자 페이지 접근 IP 설정
8.9 소스 파일이나 설정 파일 접근 권한 설정
8.10 기타 보안 설정
___8.10.1 디폴트 페이지 삭제
___8.10.2 심볼릭 링크 사용 제한

9장 톰캣 보안 설정
9.1 디렉터리 인덱싱 차단 설정
9.2 홈 디렉터리 쓰기 권한 차단 설정
9.3 로그 디렉터리의 일반 사용자 접근 차단 설정
9.4 사용자 오류 페이지 설정
9.5 메소드 제한 설정
9.6 디폴트 페이지 삭제
9.7 관리자 콘솔 접근 제한 설정
9.8 관리자 콘솔의 디폴트 계정/패스워드 변경
9.9 관리자 콘솔용 패스워드 파일의 접근 제한 설정
9.10 소스 파일이나 설정 파일 접근 권한 설정

10장 제우스 보안 설정
10.1 WAS 서버 정보 누출 차단 설정
10.2 홈 디렉터리 쓰기 권한 차단 설정
10.3 로그 디렉터리의 일반 사용자 접근 차단 설정
10.4 사용자 오류 페이지 설정
10.5 메소드 제한 설정
10.6 디폴트 페이지 삭제
10.7 관리자 콘솔 접근 제한 설정
10.8 관리자 콘솔의 디폴트 계정/패스워드 변경
10.9 관리자 콘솔용 패스워드 파일의 접근 제한 설정
10.10 소스 파일이나 설정 파일 접근 권한 설정

11장 웹로직 보안 설정
11.1 디렉터리 인덱싱 차단 설정
11.2 WAS 서버 정보 누출 차단 설정
11.3 홈 디렉터리 쓰기 권한 차단 설정
11.4 로그 디렉터리의 일반 사용자 접근 차단 설정
11.5 사용자 오류 페이지 설정
11.6 메소드 제한 설정
11.7 디폴트 페이지 삭제
11.8 관리자 콘솔 접근 제한 설정
11.9 관리자 콘솔의 디폴트 계정/패스워드 변경
11.10 관리자 콘솔용 패스워드 파일의 접근 제한 설정
11.11 소스 파일이나 설정 파일 접근 권한 설정

부록A 기타 보안 고려 사항
부록B 웹 상태 코드
부록C 웹 프락시 툴 사용법

저자소개

백승호 (지은이) 정보 더보기

KAIST IDEC에서 5년 반 동안 연구조원으로 근무했으며 2005년에 충북대학교 네트워크 보안연구실에서 석사 과정을 마쳤다. 한국화학연구원, 한국생명공학 연구원 등의 홈페이지를 개발했으며, 2007년부터 정부통합전산센터에서 IDS, IPS 등 보안 장비 운영 및 탐지 패턴 개발을 시작으로 웹 해킹 분석, DDoS 공격 대응, 홈페이지 취약점 점검 및 모의해킹 등의 업무를 현재까지 수행 중이다.

펼치기

백승호의 다른 책 >