장바구니 담기 close

장바구니에 상품을 담았습니다.

장바구니로 계속쇼핑하기
실전 모의 해킹과 침투 테스트
미리보기

실전 모의 해킹과 침투 테스트 에이콘 해킹 보안 시리즈

  • 토마스 빌헬름
  • |
  • 에이콘출판
  • |
  • 2015-01-02 출간
  • |
  • 568페이지
  • |
  • 188 X 235 X 33 mm /1172g
  • |
  • ISBN 9788960776456
★★★★★ 평점(10/10) | 리뷰(1)
판매가

40,000원

즉시할인가

36,000

배송비

무료배송

(제주/도서산간 배송 추가비용:3,000원)

추가상품
상품선택
독서대 7,900원 독서대 선택안함 0원
수량
+ -
총주문금액
36,000
장바구니 구매하기

※ 스프링제본 상품은 반품/교환/환불이 불가능하므로 신중하게 선택하여 주시기 바랍니다.

북스크린영상으로 만나보는 한 권의 책 이야기

출판사서평

★ 요약 ★
모의 침투 테스트에 대한 전반적인 절차와 구체적인 방법 등의 내용을 다룬 책이다. 자세한 이론적인 내용뿐만 아니라 초보자도 테스트 랩을 구성해 침투 테스트를 쉽게 실습할 수 있다. 기존 책에서 이미 많이 다룬 웹 기반 공격(SQL 인젝션, 파일 업로드 등)보다는 애플리케이션 취약점을 악용하거나 시스템 권한을 획득하는 등 최근 공격 트렌드에 맞춘 네트워크 및 취약점 기반 모의 해킹에 대한 내용을 설명했다. 또한 침투 테스트에 대한 결과 보고서를 작성하는 내용도 다루기 때문에 침투 테스트의 처음부터 끝까지의 내용을 모두 포함하고 있다고 할 수 있다.

★ 이 책에서 다루는 내용 ★

■ 해킹 및 침투 테스트 기술을 전문 경력으로 전환할 수 있게 하는 방법
■ 해킹 실습 및 교육을 위한 랩을 구성하는 데 대한 기본 지식과 향상된 랩 설정 방법
■ 내부 혹은 외부로의 정확한 침투 테스트 수행 방법
■ 전문 침투 테스터에게 중요한 평가 척도와 보고 방법
■ HackingDojo.com 등에서 다운로드할 수 있는 시스템 해킹 대상이나 네트워크 해킹 대상으로 사용할 자원과 비디오 교재에 대한 접근법

★ 이 책의 구성 ★

1장, '소개'에서는 이 책에서 다루는 내용에 대해 개괄하고, 개정판에서 달라진 점, 책의 설명을 따라 하기 위해 독자가 갖춰야 할 시스템 설정에 대해 알려준다.

2장, '윤리와 해킹'에서는 해킹에 관한 주요 논의의 일환으로 옳고 그름에 대한 논의부터 시작한다. 전문 모의 침투가로서 윤리적이 돼야 하는 이유는 악성 행위에 빠지는 변명보다 더 중요하며, 모의 침투 중 행위를 가이드 하는 법과 윤리적 기준에 대해 알아본다. 대부분의 사람들이 무시하는 주제이지만, 윤리는 기업 내의 중요한 주제이며, 모의 침투 프로젝트 중 어떻게 행동하는지 이해함에 따라 클라이언트와 고용주와의 전문적인 관계를 개선할 수 있다.

3장, '랩 구성'에서는 기본적이며 기능적인 가상 랩을 구성하는 방법으로 시작한다. 전문 모의 침투가가 되려는 개개인이 가장 빈번하게 질문하는 내용 중 하나는 “랩 구성에 있어 어떤 장비가 필요한가?”부터 “어떻게 해킹하는 법을 배우는가?”로 이어진다. 독자들이 이 두 가지 질문을 해결하는 데 도움을 주기 위해 가상 네트워크를 이용해 빠르고 쉬운 랩을 구성하는 법을 알려준다. 또한 다른 도전 과제와 학습 기회를 제공하는 여러 가상 시스템을 랩에 포함한다. 기본적인 부분이 끝나면 고급 주제를 학습하기 위해 기업 컴퓨터 환경을 복제하는 고급 랩을 구성하는 방법을 다룬다. 스위치나 라우터 같은 실제 네트워크 장비를 구성하는 방법을 검사한다. 이런 시스템의 설정 내용은 웹사이트에서 다운로드 할 수 있으므로 독자들이 상황을 재구성할 수 있다. 모의 침투 랩의 업그레이드에는 시스템과 네트워크 장비의 접근을 획득하는 효과적인 방법을 소개하고자 하는 목적이 있다.

4장, '방법론과 프레임워크'에서는 모의 침투에 있어서 잘 알려지고 인정받는 기준과 절차에 대해 검사한다. 이 분야는 지난 20년간 급증했으며, 모의 침투의 절차를 성문화하는 작업이 이뤄졌다(앞으로 해야 할 일이 많으나, 완전한 재작성이 아닌 일부 수정에 가까움). 4장에서는 몇 가지 옵션을 설명하고, 다른 방법론 간의 장단점을 검사한다.

5장, '모의 침투 프로젝트 관리'에서는 어떻게 프로젝트를 수행하는지 설명한다. 5장은 전판과는 내용이 달라졌다. 2판에서는 조직 내의 모의 침투 관리법을 다룬다. 그러나 단독 컨설턴트이기 때문에 대규모 조직 기반시설의 지원 없이 프로젝트를 수행하는 방법을 설명한다.

6장, '정보 수집'에서는 정확한 용어는 출판물마다 다르지만, 초기 단계에서 방향을 제시해 줄 수 있는 수동적이고 능동적인 정보 수집 기법을 검사한다. 프로젝트 중 목적에 따라 행위를 은밀하게 숨길 필요가 있다. 두 가지 기법을 통해 어떻게 수행하는지 알아본다.

7장, '취약점 식별'에서는 정보 수집의 논의를 기반으로 구성된다. 7장에서는 포트 스캐닝 도구와 기법, 시스템과 서비스 식별, 그리고 최종적으로 취약점 식별에 대해 알아본다. 감사와 모의 침투 사이의 차이 또한 알아본다.

8장, '취약점 공격'에서는 다양한 공격을 통해 독자들이 시스템을 공격하는 다양한 방법을 습득하게 한다. 다양한 공격 기법의 흐름을 감안하면 2판에서 가장 어려운 주제가 아닐까 한다. 일부 자동화 도구와 어떻게 사용돼야 하고 사용되지 말아야 하는지 설명한다.

9장, '로컬 시스템 공격'에서는 장악된 시스템에서 정보를 추출하는 방법을 설명하면서 시작한다. 시스템을 공격하고 루트/관리자 권한을 즉각적으로 획득하는 것이 늘 가능한 것은 아니다.

10장, '권한 상승'에서는 원격 암호 공격과 로컬 암호 공격의 차이점과 세부 사항, 장단점을 설명한다. 사전 대입식 공격에 적절한 단어 목록을 얻고, 추가 계정 암호를 노출하기 위한 사전 변형하는 방법을 알아본다. 또한 장악된 시스템에서 권한을 상승하는 방법을 알아본다.

11장, '지원 시스템 공략'에서는 도메인 이름과 분산 디렉토리 정보를 포함한 조직 내의 시스템과 애플리케이션에 초점을 맞춘다. 지원 시스템을 공격하면 네트워크와 네트워크 내에 있는 시스템의 목적을 이해하는 데 도움이 된다.

12장, '네트워크 공략'에서는 시스템이나 장비 간의 데이터를 가로채는 방법을 설명한다. 12장에서는 상위 계층의 민감한 정보를 데이터 스트림에서 추출하는 2계층 중간자 공격을 수행하는 방법을 알아본다. 12장의 다른 주제는 라우터나 스위치를 포함한 네트워크 장비의 공격이다. 또한 무선 액세스 포인트 침투를 위한 기법을 가볍게 설명한 후 무선 네트워크 공격의 개념을 자세히 알아본다. 장악된 이후 무선이나 다른 네트워크 공격을 거치는 데이터를 통해 무엇을 발견할 수 있는지 확인한다.

13장, '웹 애플리케이션 공격 기법'에서는 웹 애플리케이션을 공격하는 방법을 알아본다. 이 주제는 별도의 책으로 할당될 만한 가치가 있다(아니면 필요가 있다). 웹사이트 내의 데이터를 유출하고 접근 제어를 우회하는 일반적인 공격 기법을 검사한다. 대상 시스템을 공략하는 데 직접적인 관련은 없지만, 유용한 정보를 제공해주는 기본 파일이나 이외의 발견에 대해서도 알아본다.

14장, '결과 보고'에서는 문서 작성법과 적절한 위험도 측정 수준을 제공함으로써 고객의 보안 취약성을 적절하게 경감시킬 수 있다. 우리만의 방법을 생성하고 문서와 측정법을 고객에게 전달하는 여러 가지 방법을 알아본다.

15장, '경력으로서의 해킹'에서는 모의 침투를 장기적 직업으로 하기 원하는 사람에게 도움이 되는 정보를 제공한다. 정보 보안에서 가능한 여러 자격증, 훈련기회, 그리고 교육 선택에 대해 알아본다.

★ 저자 서문 ★
초판을 출간한 이후로 몇 년 내 놀랍게도 많은 것이 변했다. 개정판에는 초판에서 업데이트나 패치된 자료가 아닌 많은 새로운 자료가 포함돼 있다. 모든 독자의 의견을 듣고 자료별로 개편했기 때문에 좀 더 나은 가독성, 풍부한 자료, 초판에서 논의된 개념에 대한 추가 사항 등 개선 사항이 많다. 모두 즐겁게 즐기기를 기대한다.

개정판은 DVD를 포함하지 않는다는 면에서 또 다르다. 포함됐으면 하는 모든 추가 자료는 HackingDojo.com에서 얻을 수 있고 개정판에서 참조했다. 이는 새로운 자료/침투 테스트 대상/침투 테스트 플랫폼의 발표에 따라 이 개정판과 다음 판 사이에 존재할 수 있는 업데이트를 제공한다. 이 책이나 내용, HackingDojo.net 사이트에 대한 질문이나 의견이 있다면 info@HackingDojo. com을 통해 직접 연락하기 바란다.
즐겨라!

★ 옮긴이의 말 ★
대부분의 업무 및 개인 생활이 전자기기와 네트워크를 통해 이뤄지는 오늘날 사이버 보안은 모두에게 더욱 밀접한 주제가 되고 있다. IT 분야와 관련이 없다 하더라도 해킹과 해커라는 단어를 모르는 사람은 없을 것이며, 이로 인해 피해를 당하는 기업 및 개인의 사례가 많아지고 있다. 더욱 문제가 되는 점은 해킹으로 인한 피해의 대부분이 금전적인 손실로 이어진다는 점이다.

따라서 기업들은 자사의 IT 자산을 대상으로 하는 사이버 공격을 탐지 및 대응과 함께 취약점을 사전에 점검하고 개선하려는 노력을 기울이고 있다. 이때 모의 해킹이라고 흔히 불리는 모의 침투 테스트를 진행하게 되지만, 실제 테스트의 세부 항목에 있어서는 쉽게 접하기 어려운 것이 사실이다.

모의 침투 테스트 분야의 전문가인 저자는 1990년부터 정보 보안 분야에서 일해 왔으며, 여러 보안 컨퍼런스에서도 발표하고 있다. 저자는 이 책을 통해 모의 침투와 관련된 기술적인 세부 사항뿐만 아니라 윤리, 방법론 및 침투 테스트 전문가가 되기 위한 배경 지식, 준비 자세 등 다양한 요구 사항을 설명한다. 기술적인 부분에 있어서는 실제로 테스트할 수 있는 환경 구축부터 최신 기술 및 정보 수집을 위한 지침까지 비경험자들 또한 쉽게 따라 할 수 있게 자세한 설명을 포함하고 있다.

사이버 위협 대응을 주 업무로 하는 CERT 팀의 업무 특성 상 외부 공격을 접할 기회가 많으며, 방어자의 입장 외에 공격자의 입장에 서보는 것은 매우 중요하다. 이 책의 번역을 통해 모의 침투 전문가를 목표로 하는 많은 이들뿐 아니라 보안 담당자들에게도 많은 도움이 되기 바라며, 번역에 있어 IT나 보안 업무 종사자가 아닌 이들이 이해하기 어려울 수 있는 용어나 배경 지식에 대한 부분을 정확하게 전달하고자 노력했다.

목차

1장. 소개
소개
개정판에서 달라진 점
설정하기
모의 침투 수행하기
내부 모의 침투
개인 기술
다운로드 링크와 지원 파일
HackingDojo.com
가상 이미지
하드웨어 설정 파일
정리

2장. 윤리와 해킹
해킹 허가
윤리 강령 규정[(ISC)2]
윤리적이어야 하는 이유
블랙햇 해커
화이트햇 해커
그레이햇 해커
윤리 규범
자격증
컴퓨터 범죄 관련 법
여러 종류의 법
컴퓨터 범죄와 공격의 종류
해킹을 위한 사전 승인
비밀 협정
기업의 의무
계약자의 의무
정리
참고 자료

3장. 랩 구성
소개
침투 테스트 랩의 대상
해킹을 배우면서 직면하는 문제
실제 환경 시나리오
턴키 시나리오
라이브 CD는 무엇인가?
가상 네트워크 침투 테스트 랩
간단하게 유지
가상화 소프트웨어
침투 테스트 데이터 보호
암호화 스키마
침투 테스트 시스템 보호
모바일 보안 문제
무선 랩 데이터
고급 침투 테스트 랩
하드웨어 고려 사항
하드웨어 구성
운영체제와 애플리케이션
악성코드 분석: 바이러스와 웜
기타 대상 아이디어
정리
참고 자료

4장. 방법론과 프레임워크
소개
정보 시스템 보안 평가 프레임 워크
기획과 준비: 1단계
평가: 2단계
보고, 정리, 아티펙트 제거: 3단계
오픈소스 보안 테스트 방법론 안내서
업무 규칙
채널
모듈
정리
참고 자료

5장. 침투 테스트 프로젝트 관리
소개
침투 테스트 척도
정량분석법, 정성분석법, 혼합분석법
침투 테스트 관리 기법
프로젝트 관리의 지식 체계
프로젝트 팀 구성원
프로젝트 관리 기법
단독 침투 테스트
시작 단계
프로세스 계획 단계
실행 단계
종료 단계
관찰과 조정
데이터 아카이빙
데이터를 보관해야 하는가?
문서 보안
테스트 환경 정리
테스트 환경 보관
시스템 이미지 생성과 사용
‘깨끗한 테스트 환경’ 만들기
다음 침투 테스트 계획
위험 관리 기록
지식 데이터베이스
사후 강평
정리
참고 자료

6장. 정보 수집
소개
수동적 정보 수집
웹 보유
기업 자료
whois와 DNS 열거
추가적인 인터넷 자료
능동적 정보 수집
DNS 문의
이메일 계정
주변 네트워크 확인
네트워크 조사
정리
참고 자료

7장. 취약점 확인
소개
포트 스캐닝
대상 확인
UDP 스캐닝
TCP 스캐닝
경계 회피 스캐닝
시스템 확인
능동적 OS 핑거프린팅
수동적 OS 핑거프린팅
서비스 확인
배너 그래빙
알려지지 않은 서비스 열거
취약점 확인
정리

8장. 취약점 공격
소개
자동화 도구
엔맵 스크립트
기본 로그인 스캔
OpenVAS
JBroFuzz
메타스플로잇
익스플로잇 코드
인터넷 사이트
정리

9장. 로컬 시스템 공격
소개
시스템 익스플로잇
내부 취약점
민감한 데이터
메타프리터
셸과 리버스 셸
넷캣 셸
넷캣 리버스 셸
암호화된 터널
호스트 방화벽 추가(옵션)
SSH 리버스 셸 구성
공개 키/개인 키 구성
암호화된 리버스 셸 시작
기타 암호화와 터널 방법
정리

10장. 권한 상승
소개
암호 공격
원격 암호 공격
로컬 암호 공격
사전 공격
네트워크 패킷 스니핑
사회공학 기법
유인하기
피싱
프리텍스팅
로그 데이터 조작
사용자 로그인
애플리케이션 로그
파일 숨기기
플레인 사이트에서 파일 숨기기
파일 시스템을 이용한 파일 숨기기
윈도우에서 파일 숨기기
정리
참고 자료

11장. 지원 시스템 공략
소개
데이터베이스 공격
네트워크 공유
정리

12장. 네트워크 공략
소개
무선 네트워크 프로토콜
WPA 공격
WEP 공격
단순 네트워크 관리 프로토콜(SNMP)
정리

13장. 웹 애플리케이션 공격 기법
소개
SQL 인젝션
크로스사이트 스크립팅
웹 애플리케이션 취약점
자동화 도구
정리

14장. 결과 보고
소개
어떤 것을 보고해야 하는가?
범위 밖의 이슈
결과물
해결책
원고 준비
보고서 초안
상호 검토
사실 확인
척도
최종 보고
상호 평가
문서화
정리
참고 자료

15장. 경력으로서의 해킹
소개
진로
네트워크 아키텍처
시스템 관리
애플리케이션과 데이터베이스
자격증
고급 자격증
기술과 벤더 집중 자격증
협회와 조직
전문 조직
컨퍼런스
지역 커뮤니티
메일링 리스트
모두 합치기
이력서
직업 목록
연봉 조사
개인 문서
정리
참고 자료

저자소개

저자 토마스 빌헬름 (Thomas Wilhelm)은 미 육군에서 1990년부터 신호 정보 분석가/러시아어 학자/암호 해독가로 8년간 활약했다. 데프콘, HOPE, CSI 등 미국 전역의 보안 컨퍼런스에서 강연했고, 포춘 선정 100대 기업에서 위험 평가를 실시하고, 외부 및 내부 침투 테스트에 참여했고, 정보 시스템 보안 프로젝트를 관리하는 업무를 했다. 컴퓨터 공학 및 관리에서 석사학위를 보유하고, 정보 기술 박사과정을 수료했다. 또한 콜로라도 기술 대학교에서 부교수이며, 시간을 할애해 잡지와 책 등의 다양한 출판물에 기여한다. 현재 HackingDojo.com을 통해 민간과 정부 인사 모두를 위한 보안 교육 과정을 진행 중이며, ISSMP, CISSP, SCSECA, SCNA 등의 보안 인증 자격증도 보유하고 있다.

도서소개

[실전 모의 해킹과 침투 테스트]는 모의 침투 테스트에 대한 전반적인 절차와 구체적인 방법 등의 내용을 다룬 책이다. 책에서는 해킹 및 침투 테스트 기술을 전문 경력으로 전환할 수 있게 하는 방법, 해킹 실습 및 교육을 위한 랩을 구성하는 데 대한 기본 지식과 향상된 랩 설정 방법, 내부 혹은 외부로의 정확한 침투 테스트 수행 방법, HackingDojo.com 등에서 다운로드할 수 있는 시스템 해킹 대상이나 네트워크 해킹 대상으로 사용할 자원과 비디오 교재에 대한 접근법 등을 소개하고 있다.
추천포스트

교환 및 환불안내

도서교환 및 환불
  • ㆍ배송기간은 평일 기준 1~3일 정도 소요됩니다.(스프링 분철은 1일 정도 시간이 더 소요됩니다.)
  • ㆍ상품불량 및 오배송등의 이유로 반품하실 경우, 반품배송비는 무료입니다.
  • ㆍ고객님의 변심에 의한 반품,환불,교환시 택배비는 본인 부담입니다.
  • ㆍ상담원과의 상담없이 교환 및 반품으로 반송된 물품은 책임지지 않습니다.
  • ㆍ이미 발송된 상품의 취소 및 반품, 교환요청시 배송비가 발생할 수 있습니다.
  • ㆍ반품신청시 반송된 상품의 수령후 환불처리됩니다.(카드사 사정에 따라 카드취소는 시일이 3~5일이 소요될 수 있습니다.)
  • ㆍ주문하신 상품의 반품,교환은 상품수령일로 부터 7일이내에 신청하실 수 있습니다.
  • ㆍ상품이 훼손된 경우 반품 및 교환,환불이 불가능합니다.
  • ㆍ반품/교환시 고객님 귀책사유로 인해 수거가 지연될 경우에는 반품이 제한될 수 있습니다.
  • ㆍ스프링제본 상품은 교환 및 환불이 불가능 합니다.
  • ㆍ군부대(사서함) 및 해외배송은 불가능합니다.
  • ㆍ오후 3시 이후 상담원과 통화되지 않은 취소건에 대해서는 고객 반품비용이 발생할 수 있습니다.
반품안내
  • 마이페이지 > 나의상담 > 1 : 1 문의하기 게시판 또는 고객센터 1800-7327
교환/반품주소
  • 경기도 파주시 문발로 211 1층 / (주)북채널 / 전화 : 1800-7327
  • 택배안내 : CJ대한통운(1588-1255)
  • 고객님 변심으로 인한 교환 또는 반품시 왕복 배송비 5,000원을 부담하셔야 하며, 제품 불량 또는 오 배송시에는 전액을 당사에서부담 합니다.