해킹 웹앱

CHAPTER 1. HTML5 1
새로운 문서 객체 모델(DOM)
크로스 도메인 자원 공유(CORS)
WEBSOCKET
데이터 전송
데이터 프레임
보안 관련 고려사항
웹 스토리지
IndexedDB
WEB WORKER
기타 고려사항
History API
API 초안
요약

CHAPTER 2. HTML 인젝션과 크로스 사이트 스크립팅(XSS)
HTML 인젝션에 대해 이해하기
인젝션 포인트 식별하기
XSS의 종류 식별하기
페이로드가 렌더된 환경 식별하기
종합하기
인코딩 공격하기
실패 모드 공격하기
취약한 차단목록 우회하기
브라우저 특성 이용하기
기타 공격 벡터
XSS의 영향
대응책 마련하기
인코딩 방식 고정시키기
문자 정규화와 인코딩
출력 값 인코딩
차단목록과 정규표현에 관련하여
코드를 재사용하자
자바스크립트 샌드박스
브라우저의 자체 XSS 보호 기능
요약

CHAPTER 3. 크로스 사이트 요청 위조(CSRF)
크로스 사이트 요청 위조에 대해 이해하기
CSRF의 작동원리
브라우저를 통한 요청 위조
패스워드 없이 인증하여 공격하기
위험한 만남: CSRF와 HTML 인젝션
복잡한 웹 세상에서는 항상 주의
클릭잭킹 이해하기
대응책 마련하기
올바른 방향으로 가기
웹 브라우저 보호하기
취약점과 고려사항
요약

CHAPTER 4. SQL 인젝션과 데이터 변조
SQL 인젝션 이해하기
수학과 문법
SQL문 망가트리기
데이터베이스 해부하기
다른 공격 벡터
실전에서의 SQL 인젝션
HTML5의 웹 스토리지 API
SQL 구문이 없는 SQL 인젝션
대응책 마련하기
입력 값 검증하기
안전한 SQL문 만들기
정보 보호하기
최신 데이터베이스 패치 적용하기
요약

CHAPTER 5. 인증체계 우회와 공격
인증체계 해킹에 대해 이해하기
세션 토큰 리플레이
무차별 대입 공격
스니핑
패스워드 재설정
크로스 사이트 스크립팅 (XSS)
SQL 인젝션
피싱 공격
대응책 마련하기
세션 쿠키 보호하기
보안적으로 안전한 인증체계 사용하기
사용자를 참여시켜라
사용자를 귀찮게 만들어야 한다
요청 제한
로그 기록과 삼각측량
피싱으로부터 보호하기
패스워드 보호하기
요약

CHAPTER 6. 설계적 결함 공격
로직과 설계 기반의 공격에 대해 이해하기
업무흐름 공격
정책과 실제
귀납법
서비스 거부
안전하지 못한 설계 패턴
암호화 구현 에러
정보 필터하기
대응책 마련하기
요구사항 문서화하기
강력한 테스트 케이스 만들기
정책을 통제로 적용하기
방어적 프로그래밍
클라이언트 검증
암호화 가이드라인
요약

CHAPTER 7. 플랫폼 취약점 공격
공격에 대해 이해하기
패턴, 구조, 그리고 개발자 특성 인지하기
운영체제 공격하기
서버 공격하기
서비스 거부 공격
대응책 마련하기
파일 접근 제한하기
객체 참조
취약한 함수 블랙리스트화
인가 강제화하기
네트워크 통신 제한하기
요약

CHAPTER 8. 브라우저와 프라이버시 공격
멀웨어와 브라우저 공격 이해하기
멀웨어
브라우저 플러그인 사용하기
DNS와 출처
HTML5
프라이버시
대응책 마련하기
SSL/TLS 안전하게 설정하기
안전하게 브라우저 사용하기
브라우저 고립시키기
토르
DNSSEC
요약