로그인정보 입력 영역

아이디

비밀번호

• 2023학년도 상반기 전자책 多대출대회 안내
• 전자책 장기대출 프로그램 안내
• 전자책도서관 리뉴얼 안내

• 홈
• 전자책

책소개

독자에게 어떤 지식과 기술을 전달하면 좋을까? 새로운 취약점이 발표되면, 그것을 찾아 분석하는 방법을 모르는 독자가 많지 않을까? 그런 고민에서 쓴 것이 이 책 2부이다. 그래서 주제를 응용 프로그램 취약점 분석으로 잡았다. 그 중에서도 웹 응용 프로그램에 집중했다.

1부가 입문이나 초급에 초점을 맞췄다면, 2부는 초급과 중급 사이에 초점을 맞췄다. 초급과 중급 사이가 어디에 있는지는 명확하지는 않지만, 2부가 1부를 이해한 분들이 보면 좋은 내용으로 채워진 것은 분명하다.

1부에서는 도커(Docker) 이미지를 다운로드 받고, 도커 컨테이너를 사용하는 방법을 다뤘다. 2부에서는 Dockerfile로 이미지를 직접 빌드하거나 Docker-compose라느 도구로 컨테이너 생성을 자동화한다. 그리고 프로그래밍 언어에 거리가 있는 독자들을 위해서 PHP를 간단하게 정리했다. 그렇다고 PHP 프로그램 취약점만 있는 것은 아니다. 이 책에는 자바 기반 프로그램의 취약점도 기술되어 있다. 자바 문법도 다루면 좋겠지만, 프로그래밍을 하는 것이 이 책의 주된 목적이 아니기 때문에 비교적 쉬운 PHP 문법과 개념으로 이해를 도왔다.
2부의 독법은 1부와 같다. 실습을 하면서 개념을 채워가는 방식으로 읽길 권장한다. 최대한 이해하기 쉽게 쓰려고 노력했지만, 읽다가 이해가 되지 않을 수도 있다. 어쩌면 응용프로그램 취약점을 완전히 이해하기란 불가능할지도 모른다. 그래도 실습을 위주로 책을 완주하길 바란다. 책을 완주하고 나면, 학습의 즐거움이 커질 것이라 확신한다. 해커가 컴퓨터의 부족함을 채우는 일에서 즐거움을 느끼듯이 독자들이 이 책으로 부족한 지식을 채우는 즐거움을 경험하길 바란다.

목차

01 도커파일(Dockerfile) 작성하기 11 
1.1 도커파일이란 11 
1.2 도커파일 명령어 15 

02 Docker-compose를 이용한 컨테이너 실행 20 

03 취약점 표준 코드 CVE(Common Vulnerability Exposure) 31 

04 PHP 간단 정리 33 
4.1 PHP 동작 방식 34 
4.2 PHP시작과 끝, 변수, 연결자, 주석 35 
4.3 조건문 38 
4.4 반복문 44 
4.5 배열 48 
4.6 함수(매개 변수, 인자) 55 
4.7 전역 변수, 지역 변수 58 
4.8 슈퍼 전역 변수와 폼 데이터 62 
4.9 클래스와 객체 72 
05 드루팔(Drupal) 취약점 분석 82 
5.1 드루팔이란? 82 
5.2 취약한 Drupal Container 실행하기 83 
5.3 JSON과 Ajax(Asyncronous JavaScript And XML) 87 
5.3.1 JSON이란? 87 
5.3.2 PHP에서 JSON 데이터 처리하기 88 
5.3.3 Ajax를 이용해 로그인 폼 만들기 93 
5.4 Drupal RCE 취약점 1 (CVE-2018-7600) 106 
5.5 Drupal RCE 취약점 2 (CVE-2018-7602) 122 
06 phpmyadmin 취약점 분석 129 
6.1 phpmyadmin이란? 129 
6.2 취약한 phpmyadmin Container 실행 131 
6.3 phpmyadmin Local File Inclusion 취약점(CVE-2018-12613) 138 
07 Spring 취약점 분석 147 

7.1 Spring이란? 147 
7.2 취약한 Spring Container 실행하기 148 
7.3 Spring Messaging RCE 취약점(CVE-2018-1270) 151 
7.4 Spring Data Commons RCE 취약점(CVE-2018-1273) 160 

08 Oracle WebLogic 취약점 분석 170 
8.1 WebLogic이란? 170 
8.2 취약한 WebLogic Container 실행하기 171 
8.3 Oracle WebLogic RCE 취약점(CVE-2019-2725) 174

한줄 서평