해킹 방어를 위한 JAVA 시큐어코딩

책 이미지

eBook 미리보기

책 정보

· 제목 : 해킹 방어를 위한 JAVA 시큐어코딩 (실무에 바로 적용하는)
· 분류 : 국내도서 > 컴퓨터/모바일 > 프로그래밍 언어 > 자바
· ISBN : 9791195334223
· 쪽수 : 408쪽
· 출판일 : 2015-04-15

PART 01. 안전한 소프트웨어 개발 방법론
CHAPTER 01. 시큐어코딩의 개요
소프트웨어 보안의 필요성
소프트웨어 취약점 증가 및 침해 사고 사례
- 보안 사고 사례
보안 취약점 정보 활용
- CWE(Common Weakness Enumeration)
- CVE(Common Vulnerabilities and Exposures)
- SANS(SysAdmin, Audit, Network, Security)
- CERT(Computer Emergenct Response Team)
- OWASP(Open Web Application Security Project)
- 행자부 시큐어코딩 가이드

CHAPTER 02. 개발 보안 방법론
소프트웨어 개발 보안 방법론
OWASP CLASP
Microsoft SDL(Security Develop Lifecyle)
소프트웨어 개발 보안 가이드

PART 02. 안전한 소프트웨어를 만드는 시큐어코딩 기법

CHAPTER 03. 웹 애플리케이션 보안을 위한 기본 지식
실습 환경 구축
- 실습환경 다운로드 및 설치
- 프록시 툴 Paros 다운로드 및 설치
HTTP와 웹 구조
- 웹 서버와 프레임워크 구조 이해
- HTTP 구조
인증(Authentication)
- 세션을 사용하지 않는 HTTP 인증
- 세션을 사용하는 HTTP 인증
세션(Session)과 쿠키(Cookie)
- 세션
- 쿠키
인코딩 스키마
- ASCII 인코딩
- URL 인코딩
- HTML 인코딩
- BASE64 인코딩
- UniCode 인코딩
- MS Scripting 인코딩
정규식(regex)
- 정규식에 사용되는 특수문자들
- 자바스크립트에서 정규식 사용하기
- 자바 프로그램에서 정규식 사용하기
- 정규식을 이용한 입력 값 검증
로그 관리와 로그 분석
- W3C 포맷
- NCSA 포맷
- logparser를 이용한 로그분석
- Apache Log Viewer를 이용한 로그 분석

CHAPTER 04. 보안 취약점 제거를 위한 코딩 기법
입력 값 검증 부재와 삽입
- SQL 삽입
- 운영체제 명령어 삽입
- XPath 삽입
- LDAP 삽입
- SOAP 삽입
인증 및 세션 관리 취약
- 세션 취약점
- 패스워드 정책 및 관리 미흡
- 로그인 시도 횟수 제한
크로스 사이트 스크립팅(XSS)
크로스 사이트 요청 위조(CSRF)
파일 업로드/다운로드 취약점
민감한 데이터 노출
- 중요 정보 노출 취약점
- 암호화 정책과 안전한 DB 데이터 관리
- 안전하지 않은 암호 알고리즘 사용
잘못된 접근 제어 및 경로 조작
안전하지 않은 리다이렉트와 포워드
취약한 컴포넌트 사용
잘못된 보안 설정
- 디렉터리 노출
- 에러 노출
- 디폴트 설정 노출
기타 입력 값 검증 부재 취약점들
- HTTP응답 분할
- 정수 오버플로우

CHAPTER 05. 안전하지 않은 코딩 스타일
안전하지 않은 예외 처리
- 오류 메시지를 통한 정보 노출
- 오류 상황 대응 부재
- 부적절한 예외 처리
널 포인트 역참조
스레드 공유 데이터에 대한 동기화 처리 부재
캡슐화 위배
잘못된 API 사용
배포 시 제거되지 않고 남아 있는 코멘트 또는 디버깅 코드

PART 03. 소프트웨어 보안 강화 기법

CHAPTER 06. 오픈소스 보안 프레임워크 활용
ESAPI(Enterprise Security API)를 이용한 보안 강화
- ESAPI 라이브러리 구조
- ESAPI 라이브러리 환경 설정
- 사용자(User)와 인증 처리(Authenticator)
- HTTP Session 관리(HTTPUtilities)
- 입력 값 유효성 검증(Validator)과 인코딩(Encoder)
- 액세스 제어(AccessController)
- AccessReferenceMap
- 암호화(Encryptor)
- 로깅(Logging)
- 침입탐지(IntrusionDetector)
- 예외 처리(Exception Handling)
- API 다큐먼트와 예제 소스 활용

CHAPTER 07. 보안 약점 진단 툴 활용
보안 약점 진단 툴
정적 분석 방법
- 정적 분석 방법/기법
- LAPSE+를 이용한 정적 분석
- Find Bugs를 이용한 정적 분석
- 정적 분석 결과 보고서
동적 분석 방법
- 동적 분석 방법/기법.
- Paros를 이용한 동적 분석
- OWASP ZAP를 이용한 동적 분석

저자소개

김영숙 (지은이) 정보 더보기

(현) 오픈이지(Open Expert Group) 대표 (현) 오픈이지북스 대표 (현) 대한민국산업현장 교수 (전) 한국썬마이크로시스템즈 전임강사/컨설턴트 (전) 한국산업기술원 전임강사/기술위원 KISA아카데미, HP Education, SDS보안아카데미, 현대, SK, CJ, KTDS, 신한 등 국내의 많은 기업들에서 시큐어코딩과 소프트웨어 개발 보안에 대해 교육/컨설팅하고 있는 소프트웨어 개발 보안 전문가다.

펼치기

김영숙의 다른 책 >