해커북 리뉴얼 일보직전!!

분류없음 2010/01/04 08:21

해킹 보안 전문 온라인 서점인 해커북이 리뉴얼 하였습니다.


곧 적용한 사이트 올릴 예정이니 많은 이용 바랍니다.

http://www.hackerbook.net

와우스토리3 와 특별한 해킹 보안 서적 하나를 출간할 계획입니다.

Posted by 은델 터보
TAG ddos, hacker, hackerbook, hacking, JSP해킹, 게임해킹, 쉬프트웍스, 와우스토리, 와우스토리2, 와우해커, 자바해킹, 해커되는법, 해커북, 해킹기법, 해킹자료, 해킹책
트랙백 0, 댓글 1개가 달렸습니다.

자바해킹, JSP해킹 전문 서적 출간 안내 -자바해킹-

분류없음 2009/08/26 21:44
자바 해킹 보안으로 유명한 홍동철 hinehong 님께서 쓴 책입니다.
아주 쉬운 설명과 초보자들이 접하기 쉬운 구조로, 자바 해킹과 보안에 관한 전문적인 지식을 바로 습득하실 수있는 책으로 추천해드리는 책입니다.


구매 가능 온라인 서점 단 한곳 "해킹보안 전문온라인 서점" 해커북 : http://www.hackerbook.net

알아야 막는다! 자바 JSP 해킹과 보안

소개 
자바는 우리나라뿐만 아니라 전 세계에서 가장 많이 쓰이는 프로그램 언어 중 하나가 되었습니다. 
이유는 최근의 추세인 웹 환경에서 가장 뛰어난 성능과 안정성을 자랑하기 때문이며 대부분의 공공기관 및 
대기업에서 새로운 웹 시스템을 도입시 자바 기반의 JSP프로그램을 우선적으로 고려하여 개발을 하고 있습니다. 
이러한 가운데 최근들어 중국과 같은 해외에서는 우리나라를 목표로 시스템을 무자비하게 크래킹하여 개인정보 
등을 탈취하고 돈을 목적으로 정보를 팔거나 보이스 피싱 같은 범죄에 악용하고 있습니다. 
해킹 공격을 원천적으로 봉쇄하기 위해서 프로그래머들은 시스템을 개발 할 때에 반드시 불법적인 해킹에 대하여 
고려하여 개발하여야 하지만 대부분의 자바 프로그래머들은 해킹이나 보안에 대한 지식을 얻기가 어려운 실정입니다. 
이 책에서는 자바 JSP 개발자들과 정보보호 관련자들이 취약한 자바 프로그램을 이해하고 이를 방지하여 안전한 프로그램을 
작성하는 방법을 알려주고 있습니다.
책의 수준은 다분히 기초적으로 해킹에 대하여 잘 알지 못하는 사람들이 보더라도 이해하기 쉽도록 작성되었으며  
http://javahacking.com 에 관련 홈페이지를 작성하여서 책의 내용을 보다 쉽게 이해할 수 있도록 하였습니다.
목차 
PART 1. 자바 보안
1. 자바기초
1.1. 자바의 구조
1.1.1. 바이트코드(Byte Code)
1.1.2. 빅 엔디안(Big endian)
1.1.3. 자바 가상 머신(JVM : Java Virtual Machine)
1.1.4. 가비지 컬렉터(Garbage Collector)
1.1.5. 패키지(package)
1.1.6. 접근제한자	
1.2. 자바 메모리 구조	
1.2.1. 메소드 영역(Method Area)	
1.2.2. 스택(Stack)	
1.2.3. 힙(Heap)	
1.3. 기초 용어
1.3.1. Path	
1.3.2. Classpath	
1.3.3. JSP, 서블릿(Servlet)	
1.3.4. 톰캣 (Tomcat)	
1.3.5. 자바스크립트	
1.4. KEYTOOL	
1.4.1. 인증서 키 생성	
1.4.2. 생성된 키 확인	
2. 해킹과 보안	
2.1. 해킹기법	
2.1.1. 혼란기법(Obfuscate)	
2.1.2. 스니핑	
2.1.3. 스푸핑	
2.1.4. 역공학(Reverse Engineering)	
2.2. 암호화	
2.2.1. 대칭 알고리즘	
2.2.2. 비대칭 알고리즘	
2.2.3. 단방향 알고리즘	
2.2.4. base64인코딩 디코딩	
3. WWW.JAVAHACKING.COM	

PART 2. 웹 해킹	
1. 클라이언트 스크립트의 조작	
1.1. 자바스크립트 인증 우회	
1.1.1. GET방식과 POST방식	
1.1.2. Level1 풀이 ? URL을 통한 GET형식	
1.1.3. Level1 - html을 PC에 저장후 인증우회	
1.1.4. 자바스크립트로 직접 호출	
1.2. 정보 분석을 통한 공격	
1.2.1. Level 2. 풀이	
1.2.2. Level 3 풀이	
1.3. 클라이언트 스크립트 조작의 방어	
1.4. 클라이언트 스크립트 혼란기법(OBFUSCATOR)	
2. 쿠키	
2.1. 쿠키조작	
2.2. 쿠키 스푸핑	
2.3. 암호화를 통한 쿠키관리	
2.3.1. DES키 생성	
2.3.2. DES로 쿠키 암호화	
2.3.3. DES로 쿠키 복호화	
3. XSS (CROSS SITE SCRIPT)	
3.1. 쿠키 스니핑	
3.2. 악성코드 삽입	
3.3. 방어	
4. SQL인젝션(SQL INJECTION)	
4.1. 인젝션 가능여부 에러 체크	
4.1.1. SQL문 추정	
4.1.2. SQL문 삽입	
4.2. 대응방법	
5. 파일첨부 프로그램의 위험	
5.1. 파일 업로드 프로그램 취약점	
5.1.1. 실행권한이 없는 디렉토리에 파일 업로드.	
5.1.2. 파일 확장자 체크.	
5.1.3. 파일명 변경 후 업로드	
5.2. 취약한 업로드 프로그램 공격	
5.2.1. 웹쉘(Web Shell)	
5.3. 다운로드 프로그램 취약점	
6. 정보유출	
6.1. BAK 파일의 노출	
6.2. 톰캣 디렉토리 리스팅	
6.3. 서블릿 맵핑	
6.4. 캐쉬(CACHE) 정보	
6.5. 에러 처리	
7. 웹해킹툴	
7.1. 파로스(PAROS)	
7.2. PAROS를 이용한 LEVEL1의 풀이	
7.3. PAROS를 이용한 LEVEL4의 풀이	

PART 3. 역컴파일	
1. 역컴파일 툴	
1.1. JAD	
1.2. JODE	
2. 역컴파일 방지	
2.1. 혼란기법(OBFUSCATOR)	
2.1.1. Jode	
2.1.2. proguard	
2.2. JSMOOTH를 이용한 바이너리 파일 작성	

PART 4. 애플릿(APPLET)	
1. 애플릿 보안	
1.1. 모래상자(SAND BOX)	
1.2. 제약 조건	
1.3. 서명된 애플릿(SIGNED APPLET)	
1.3.1. jar 압축	
1.3.2. jarsigner	
1.3.3. 서명된 애플릿 실행	
1.4. 애플릿 다운로드	
1.4.1. html코드에서 유추	
1.4.2. 다운로드된 애플릿 확인	
2. 파라미터 값 조작	
3. 역컴파일로 인한 중요정보 노출	
3.1. 애플릿 다운로드 폴더 접근	
4. 정보분석	
5. 서블릿(JSP) 호출 방법	
6. 애플릿 IDX파일 스푸핑	

PART 5. 스니핑과 스푸핑	
1. 스니핑	
1.1. 스니핑 툴	
1.1.1. PCAP(Packet Capture Library)	
1.1.2. 와이어샤크(WireShark)	
1.2. 웹 로그인 패킷 캡쳐	
2. 개인정보 보호법	
3. SSL	
4. 웹에서의 RSA 암호화 통신	
4.1. 자바 RSA 암호화	
4.2. 자바스크립트 RSA 암호화	
4.3. 로그인 프로그램 암호화	
4.3.1. 암호화 웹 로그인 프로그램 스니핑 테스트	
4.3.2. RSA 암호화 로그인 프로그램 절차	
4.3.3. login.jsp	
4.3.4. login2.jsp	
5. 네트워크 애플리케이션	
5.1. 암복호화 네트워크 프로그램	
5.1.1. 서버 프로그램 (CryptoServer)	
5.1.2. 클라이언트 프로그램 (CryptoClient)	
5.1.3. 프로그램 실행 결과	
5.1.4. 패킷 캡쳐	
5.2. 프로그램 소스와 설명	
5.2.1. CryptoServer.java	
5.2.2. CryptoClient.java	
5.2.3. 데이터를 저장하고 전송하는 클래스	
6. 스푸핑 (SPOOFING)	
6.1. 웹 암호화 프로그램의 스푸핑 위험	
6.2. 네트워크 암호화 프로그램의 스푸핑 공격	
7. 스니핑 툴 만들기	
7.1. JPCAP	
7.2. 자바로 만든 스니핑 툴	
7.3. 프로그램 구조	

PART 6. CLASS 파일의 구조	
1. HELLO.JAVA	
2. 기본구조	
3. CLASS HEADER	
4. CONSTANCE POOL	
5. CLASS 정보	
6. ATTRIBUTE	
6.2. 첫번째 메소드 ATTRIBUTE	
6.3. 두번째 메소드 ATTRIBUTE	
7. CLASSVIEWER 프로그램 소스	
 
구매 가능 온라인 서점 단 한곳 "해킹보안 전문온라인 서점" 

해커북 : http://www.hackerbook.net
저작자 표시
Posted by 은델 터보
TAG hacker, hinehong, java hacker, java hacking, jsp hack, JSP 해킹, 웹게임, 웹보안, 웹해킹, 자바웹게임, 자바해커, 자바해킹, 자바해킹문제, 해커, 해킹, 해킹대회, 홍동철, 히네홍
트랙백 1, 댓글 0개가 달렸습니다.

와우해커 해킹책 두번째 이야기 - 와우스토리 리로디드-

분류없음 2009/08/24 14:30


엄청나게 인기가 많았던 와우해커에서 출판한 와우스토리 첫번째이야기에 이어

와우스토리 두번째 이야기인 와우해커 리로디드 라는 책이 나와 오늘 부터 판매에 들어갔다.

구매는 http://www.hackerbook.net 에서 구매할 수 있다.



와우스토리 첫번째판을 구매하지 않으셨던 분은 , 1과 2를 동시에 구입하면 할인혜택이 주어지며

이번에 함께 나온 자바해킹 이라는 책과도 함께 구매하면 좀더 많은 할인 혜택이 주어집니다.

와우 스토리 두번째판의 내용은 실제 분석등의 업무에 도움이 되는 테크닉과 DDoS 공격 기법에 대한 이해 및

방법론에 대해서 알수 있다.


내용안내)

두번째 이야기 “The WOWHACKER Reloaded” 에서는 입문자를 위한 해킹이나 보안에 대한 기초 주제를 와우해커 (http://www.wowhacker.org) 
자유게시판에서 투표 한 결과 “버퍼오버플로우”, “쿠키 스니핑 스푸핑”, “포렌식”, “DDos”가 선택되어서 해당 주제에 대하여 작성되었고 
그 외에 멤버들이 작성한 “파일 시스템 직접 접근으로 접근제어 우회하기”, ”애플릿 보안”, “UNPACKING을 위한 코드 인젝션”, “DLL INJECTION”의 
총 9개의 주제로 구성되어 있습니다. 
또한 독자분들이 이해를 돕기 위하여 각 단원의 첫 장에 주제 밑에 난이도를 별표(☆★)로 다섯개 까지 표시하였으며 채워진 별표 만큼 
난이도가 높은 내용입니다.  

목차 
쿠키스니핑,스푸핑	1
1. 들어가면서	2
1.1. 쿠키란 무엇일까?	2
1.2. 쿠키는 어떻게 볼 수 있을까?	3
1.3. 쿠키는 왜 쓸까?	7
2. 쿠키와 세션	9
2.1. 쿠키의 문제점	9
2.2. 쿠키의 문제를 보완한 세션	13
3. 쿠키스니핑,스푸핑	15
3.1. 웹 서버 설치	15
3.2. XSS 란?	15
3.3. XSS 테스트	16
3.4. 쿠키스니핑	18
3.5. 쿠키스푸핑	20
3.6. 웹게임풀이(1)	22
3.7. 웹게임풀이(2)	24
3.8. 웹게임풀이(3)	28
4. 마치며	35
4.1. 결론	35
4.2. 참고자료	35

DDOS	36
1. DDOS 소개	37
1.1. DOS	37
1.2. DDOS	38
1.3. DRDOS	40
1.4. PDOS	41
2. DDOS 공격 기법	42
2.1. LAND ATTACK	42
2.2. PING OF DEATH	42
2.3. TEAR DROP ATTACK	43
2.4. ICMP FLOOD	43
2.5. ICMP ROUTER DISCOVERY ATTACK	44
2.6. SMURF ATTACK	45
2.7. UDP FLOOD	46
2.8. SYN FLOOD	46
2.9. SYSLOG FLOOD	48
2.10. AMPLIFICATION ATTACKS	48
2.11. GET FLOOD	49
2.12. CC ATTACK	49
3. DDOS TOOL 소개	50
3.1. TRIN00	50
3.2. TFN	50
3.3. STACHELDRAHT	51
3.4. DOSHTTP 2.0	52
3.5. 도깨비 DDOS, GANSI V2008, NETBOT ATTACKER	53
4. BOTNET	57
4.1. BOTNET 소개	57
4.2. BOTNET 구분	59
4.2.1. 중앙 집중형	59
4.2.2. P2P형	59
4.2.3. RANDOM형	59
4.3. BOTNET의 현재	60
5. 실제 사례	61
6. 탐지 및 대응 기법	62
6.1. 탐지	62
6.1.1. 엔트로피 연산법	62
6.1.2. 트래픽 볼륨	63
6.1.3. 카이 제곱 검증법	63
6.1.4. 패턴 매칭	64
6.1.5. PI마킹	64
6.1.6. MIB	65
6.1.7. 데이터 마이닝	65
6.2. 대응	66
7. 마치며	68
8. 참고 자료	69

BUFFER OVERFLOW	70
1. 들어가면서	71
1.1. 개요	71
2. BUFFER OVERFLOW란?	72
2.1. 취약성	72
2.2. 동작원리	72
2.3. 스택을 조작한다면?	73
3. SAMPLE CODE	75
3.1. 취약한 코드	75
3.2. 안전한 코드	78
4. 버퍼오버플로우 테스트	79
4.1. 프로그램 작성 및 취약성 테스트	79
4.2. 쉘 코드의 작성	81
4.3. 취약한 프로그램 공격	89
5. 결론	94
6. 참고문헌	95

BASIC COMPUTER FORENSICS	96
1. 들어가면서	97
1.1. 개요	97
2. COMPUTER FORENSICS 간보기	98
2.1. COMPUTER FORENSICS이란?	98
2.2. COMPUTER FORENSICS 유형	99
2.3. COMPUTER FORENSICS 주요 목적	99
3. COMPUTER FORENSICS 맛보기	101
3.1. 일상에서의 COMPUTER FORENSICS	101
3.2. 따라하는 COMPUTER FORENSICS	103
4. ANTI COMPUTER FORENSICS 간보기	116
4.1. ANTI COMPUTER FORENSICS 존재의 이유	116
4.2. ANTI COMPUTER FORENSICS 간보기	116
5. 마치며	120
5.1. 마치며	120
5.2. 참고문헌	120

DLL INJECTION	121
1. 들어가면서	122
1.1. 개요	122
2. DLL	123
2.1. DLL 이란?	123
3. DLL INJECTION	124
3.1. DLL INJECTION이란?	124
3.2. WINDOWS HOOK FUNCTION	124
3.2.1. HOOKING의 절차	125
3.2.2. SETWINDOWSHOOKEX	125
3.2.3. HOOKPROCEDURE	126
3.2.4. UNHOOKWINDOWSHOOKEX	126
3.2.5. 예제	127
3.2.5.1. DLL	127
3.3. CREATEREMOTETHREAD & LOADLIBRARY	131
3.3.1. CREATEREMOTETHREAD절차	132
3.3.2. GETMODULEHANDLE & GETPROCADDRESS	132
3.3.3. VIRCTUALALLOCEX & WRITEPROCESSMEMORY	133
3.3.4. CREATEREMOTETHREAD	134
3.3.5. 예제	134
4. 지뢰찾기 MAP HACK	139
4.1. 일반적인 제작 방법	139
4.1.1. 리버스 엔지니어링	139
4.1.2. DLL INJECTION	139
4.2. 소스코드	140
4.2.1. DLL	140
4.2.2. DLL INJECTOR	143
4.3. 실험 및 결과	145
5. 스피드 핵	147
5.1. 일반적인 제작 방법	147
5.1.1. USER LEVEL API HOOKING	148
5.1.1.1. IAT Patching	148
5.1.1.2. IAT Patching의 절차	148
5.1.2. DLL INJECTION	149
5.1.3. SPEED CONTROL	149
5.2. 소스코드	149
5.2.1. DLL	149
5.2.2. DLL INJECTOR	151
5.3. 실험 및 결과	152
6. 참고 자료	154

APPLET SECURITY	155
1. 들어가면서	156
1.1. 개요	156
1.2. SAND BOX	156
1.3. 잔액조회 애플릿	158
2. 공격	159
2.1. 클라이언트 다운로드	159
2.2. 역컴파일	161
2.2.1. JAD	161
2.2.2. 사용법	162
2.2.3. 다운로드된 애플릿 CLASS파일 역컴파일	163
2.3. 정보분석	165
3. 방어	171
3.1. 중요 데이터 노출	171
3.1.1. 서블릿(JSP) 호출 방법	171
3.2. 역컴파일 방지	172
3.2.1. 혼란기법(OBFUSCATOR)	172
3.2.2. JODE	172
4. 결론	183

UNPACKING을 위한 코드 인젝션	184
1. 들어가면서	185
1.1. 개요	186
1.2. 먼저 알아야 할 것들	186
2. 인젝터, 타겟에 로더 삽입하기	187
2.1. CREATEPROCESS & CREATEREMOTETHREAD	187
2.2. VIRTUALALLOCEX & WRITEPROCESSMEMORY	189
2.3. 작성한 코드 영역 찾기	190
2.4. 방법론	192
3. 로더, 모든 것을 위한 준비	193
3.1. KERNEL32.DLL로부터 사용할 함수 획득하기	193
3.2. IAT 후킹하기	201
3.3. EXPORT TABLE PATCHING	204
3.4. 로거(LOGGER)를 위한 준비	208
3.5. 방법론	209
4. EXCEPTION 정보 알아내기	211
5. SELF-TRACING	215
6. 결론 & 참고문헌	217

파일 시스템 직접 접근으로 접근제어 우회하기	218
1. 들어가면서	219
1.1. 개요	219
2. 파일 시스템 이론(FILE SYSTEM THEORY)	220
2.1. 클러스터(CLUSTER)	220
2.2. DOS 파티션	221
2.3. EXT2 파일 시스템	223
3. 데이터 영역 이해하기(UNDERSTAND OF DATA AREA)	241
3.1. 디렉터리 엔트리(DIRECTORY ENTRY)	241
3.2. 파일 데이터(FILE DATA)	248
4. 접근제어 우회하기(BYPASS ACCESS CONTROL)	255
4.1. 국부적인 설정(SECTIONALLY CONFIGURATION)	255
4.2. 접근제어 우회하기(BYPASS ACCESS CONTROL)	258
4.3. 데이터 추출하기	267
4.4. 문제에 대한 해결책	268
5. 마치며..(EPILOGUE)	272
6. 참고자료(REFERENCE)	273

http://www.hackerbook.net
저작자 표시
Posted by 은델 터보
TAG ddos, wowstory2, 리버싱, 시스템해킹, 와우스토리2, 와우해커 리로디드, 웹해킹, 자바해킹, 쿠키, 해커북, 해커책, 해킹책
트랙백 1, 댓글 0개가 달렸습니다.