안전한 웹 애플리케이션을 위한 자바스크립트 보안

리얼타임 eBook

번역서

판매중

페이스북 퍼가기 트위터 퍼가기

저자 : Y.E 리앙(Y.E Liang)
번역 : 박미정
출간 : 2015-11-30
페이지 : 92 쪽
ISBN : 9788968487927
초급 초중급 중급 중고급 고급

2점 (1명)

좋아요 : 42

리뷰쓰기

오탈자 등록

서버부터 클라이언트까지
자바스크립트 보안의 기본을 알자!

자바스크립트는 처음에는 동적인 웹 페이지를 위해 주로 사용되었지만, 현재는 Node.js처럼 서버단에서도 사용하는, 넓은 영역을 다룰 수 있는 언어가 되었다. 자바스크립트만으로 클라이언트와 서버 모두를 구현할 수 있게 되어 자바스크립트의 영역이 점점 넓어지고 있다. 이에 따라 웹 애플리케이션에서 발생하는 보안 문제는 서버의 취약점뿐만 아니라 클라이언트단의 취약점 때문에도 발생할 수 있다.

이 책에서는 자바스크립트를 사용하면서 생길 수 있는 보안 취약점들의 기본에 대해 설명한다. 크로스 사이트 스크립팅(XSS)과 크로스 사이트 요청 위조(CSRF)와 같은 취약점들의 개념을 설명하고 이 취약점을 방어하기 위한 다양한 방법에 대해 배운다. 또한, 클라이언트에서 잘못된 신뢰로 일어나는 다양한 형태의 보안 문제를 짚어보고, 온라인 신원 도용과 개인정보침해 문제를 일으키는 자바스크립트 피싱 문제도 함께 다룬다.

이 책은 자바스크립트에 대한 기본 지식이 있으며, 웹 API를 이용하기 위한 jQuery 사용이 익숙한 독자를 대상으로 한다. Python은 알면 좋지만 필수 요구사항은 아니다. 가장 중요한 것은 자바스크립트 보안의 기본 지식을 알고 싶어하는 것이다. 따라서 보안 관련 업무를 하는 실무자 또는 보안에 관심이 있거나 이제 막 입문하려는 초보자에게도 읽기 쉬운 책이다.

저자

Y.E 리앙

연구원이며 저자, 웹 개발자, 사업 기획가다. 그는 특히 엔지니어링 분야에서 프론트엔드, 백엔드를 모두 개발한 경험이 있고, 자바스크립트/CSS/HTML을 이용한 사용자 경험(UX) 및 소셜 네트워크 분석을 수행하였으며, 여러 책과 연구 논문을 저술하였다.

역자

박미정

컴퓨터공학을 전공하고 소프트웨어의 보안 약점 도출에 대한 석사과정을 마쳤다. LG CNS에서 개발자로 공공시스템 프로젝트에 참여하며 회사생활을 시작하였고, 그 후 한국비트코인거래소(Korbit)에서 서버 개발자로 근무하였다. 현재는 엔지니어로서의 미래를 고민하고 설계하는 일에 관심이 많다.

chapter 1 자바스크립트와 웹
   1.1 자바스크립트와 HTML/CSS 요소
       1.1.1 jQuery 효과
       1.1.2 체이닝
       1.1.3 jQuery Ajax
   1.2 클라이언트를 넘어선 자바스크립트
   1.3 자바스크립트 보안 이슈
       1.3.1 크로스 사이트 요청 위조
       1.3.2 크로스 사이트 스크립팅
   1.4 요약

chapter 2 안전한 Ajax RESTful API
   2.1 RESTful API 서버 구축
       2.1.1 Node.js와 Express.js로 구현한 간단한 RESTful API 서버
       2.1.2 Express.js 기반의 to-do 목록 애플리케이션을 위한 프론트엔드 코드
       2.1.3 Cross-origin 삽입
       2.1.4 자바스크립트 코드 삽입
       2.1.5 API 엔드포인트 추측
   2.2 유사한 공격에 대한 기본적인 방어
   2.3 요약

chapter 3 크로스 사이트 스크립팅
   3.1 XSS란
       3.1.1 지속적인 XSS
       3.1.2 비지속적인 XSS
   3.2 XSS 예제
       3.2.1 Tornado/Python을 이용한 간단한 to-do 애플리케이션
       3.2.2 XSS 예제 1
       3.2.3 XSS 예제 2
       3.2.4 XSS 예제 3
   3.3 XSS에 대한 방어
       3.3.1 사용자를 신뢰하지 말라 - 사용자 입력 분석
   3.4 요약

chapter 4 크로스 사이트 요청 위조
   4.1 CSRF란
       4.1.1 CSRF 예제
       4.1.2 CSRF 공격에 대한 기본적인 방어
   4.2 CSRF의 다른 예제
       4.2.1 태그를 이용한 CSRF
   4.3 보호의 다른 형태
       4.3.1 앱 ID와 App secret 만들기 - OAuth 유형
       4.3.2 Origin 헤더 확인
       4.3.3 토큰의 수명 제한
   4.4 요약

chapter 5 클라이언트에서 잘못된 신뢰
   5.1 신뢰가 잘못된 경우
       5.1.1 간단한 예제
       5.1.2 서버단 구축하기
       5.1.3 신뢰하거나 신뢰하지 않거나
       5.1.4 불신 다루기
   5.2 요약

chapter 6 자바스크립트 피싱
   6.1 자바스크립트 피싱이란
   6.2 자바스크립트 피싱 예제
       6.2.1 전형적인 예
       6.2.2 로컬 상태에 접근하여 사용자 히스토리 접근하기
       6.2.3 XSS와 CSRF
       6.2.4 이벤트 가로채기
   6.3 자바스크립트 피싱 방어
       6.3.1 최신 웹 브라우저로 업그레이드
       6.3.2 실제 웹 페이지 인식
       6.3.3 XSS와 CSRF에 대한 사이트 보호
       6.3.4 팝업 사용 피하기와 주소창 유지하지
   6.4 요약