상세 컨텐츠

본문 제목

해킹과 침투 테스트를 위한 코딩

전체 출간 도서

by 비제이퍼블릭 2012. 7. 30. 11:13

본문

 

 

 

해킹과 침투 테스트를 위한 코딩

 

 

 

저자: 제이슨 안드레스, 라이언 린

역자: 김선국, 양우철

출판사: 비제이퍼블릭

 

출간일: 201287()

정가: 27,000

페이지: 414p

판형: 175 x 230

ISBN: 978-89-94774-17-6 (93560)

원서정보: Coding for Penetration Testers: Building Better Tools

 

 

 

책 소개

 

다양한 개발 언어로 직접 침투 테스트 툴을 만드는 법을 배워보자.

 

침투 테스터는 수십 가지 툴을 마스터해야 하는 직업이다. 모든 작업은 큰 도전이며, 이러한 툴을 혼합, 조합, 자동화해야 한다. 마스터 침투 테스터는 툴 사용에만 뛰어난 것이 아니라 직접 작성한 스크립트와 자신만의 프로그램으로 툴의 기능을 확장하여 문제를 해결한다. 이 책은 침투 테스터의 목표를 염두에 두고 여러 가지 언어를 사용하여 직접 스크립트를 작성하고 툴을 개발하는 법을 다루는 탄탄한 내용의 입문서다. 이러한 배경은 침투 테스트를 반복적인 수작업에서 좀 더 빠를 뿐만 아니라, 대규모 프로젝트에서는 더 정확하고 일관성 있는 효율적인 프로세스로 전환시킬 수 있게 해준다.”

 

- HD 무어, 메타스플로잇 최초 개발자 및 RAPID 7 보안최고책임자

 

침투 테스트를 위해 테스터는 대상을 가능한 많이 이해해야 하며 최대한 효율적이고 동시에 다양한 공격을 어떻게 수행해야 하는지 알아야 한다. 다양한 스크립트를 작성하는 능력은 침투 테스터의 효율성을 제고하고, 침투 테스터를 단순한 스크립트 키디에서 전문가로 발돋움하게 해준다. 제이슨 안드레스와 라이언 린은 침투 테스트를 할 때 사용할 스크립트를 만드는 데 필요한 기술을 조사하고 소개하는 가이드를 만들었다. 어떤 플랫폼에서 침투 테스트를 하든 상관없이 이 책은 스크립트를 배우고 세계 최고의 침투 테스터가 되는 데 필요한 정보를 제공한다. 그리고 이 책에서 배운 것은 당연히 모든 테스트에서 활용할 수 있다!”

- 케빈 존슨, SECURE IDEAS 수석 컨설턴트

 

침투 테스트에 사용하는 툴은 인터넷에서 구입하거나 다운로드한다. 각각의 툴은 펄, 파이썬, 루비 같은 언어를 기반으로 만들어졌다. 침투 테스터가 툴의 기능을 확장, 증대, 변경하여 기본 설정과는 다른 침투 테스트를 하고 싶다면 관련된 프로그래밍 언어의 기초를 반드시 알아야 한다. 《해킹과 침투 테스트를 위한 코딩》은 직접 툴을 개발하고 툴이 사용될 상황의 예를 보여줌으로써 침투 테스트 툴을 개발할 때 흔히 사용되는 스크립트 언어를 쉽게 이해할 수 있게 해준다. 각 언어를 이해함으로써 실제 테스트 상황에 관해 배우고 나중에 실제 사용할 툴을 개발하게 된다.

 

l  침투 테스트에서 사용하는 다양한 스크립트 언어에 대한 설명

l  , 루비, 파이썬 등의 언어로 직접 침투 테스트 툴을 만드는 방법을 단계적으로 설명

l  웹 스크립트, 스캐너 스크립트, 공격 스크립트 등을 포함한 주요 스크립트에 대한 설명

 

 

독자대상

 

초중급

 

 

 

저자소개

 

제이슨 안드레스 (Jason Andress, ISSAP, CISSP, GPEN, CEH)

 

학계뿐 아니라 비즈니스 세계에서 경험을 쌓은 숙련된 보안 전문가다. 현재는 침투테스트, 위험평가, 컴플라이언스 등 정보보안 감독 업무를 수행하여 핵심 자산이 보호될 수 있게 하고 있다. 안드레스는 2005년부터 학부와 대학원에서 보안 과정을 가르치고 데이터 보호를 연구하여 컴퓨터 공학 박사학위를 취득했다. 데이터 보안, 네트워크 보안, 침투테스트, 디지털 포렌직 등에 관하여 책을 여러 권 펴냈고 간행물에 기고했다.

 

라이언 린 (Ryan Linn)

 

침투테스터, 저자, 개발자, 교육자다. 수년간 IT 분야에서 경험을 쌓았고 시스템 관리자 및 웹 애플리케이션 개발 경험도 있다. 린은 현재 전임 침투테스터로 활동하며 공격 프레임워크인 메타스플로잇과 드라디스 등 오픈소스 프로젝트에 정기적으로 기여하고 있다. 또한 ISSA, DEF CON, SecTor, Carolina Con 등 수많은 보안 컨퍼런스와 행사에서 강연했고, WoW 중독 치료 프로그램의 12번째 단계로서 OSCE, GPEN, GWAPT 등 여러 가지 자격증을 취득했다.

 

 

 

역자소개

 

김선국

 

하와이대학교 컴퓨터정보공학과에서 학사를 마쳤으며 복수전공으로 수학을 전공하였다. 대한민국 해군 통역장교를 거쳐 현재 안철수연구소 기술컨설팅팀에서 취약점분석 업무를 담당하고 있으며 컴퓨터 프로그래밍, 컴퓨터 보안, 경제학, 경영학 등 다양한 분야에 관심이 많다.

 

양우철

 

한국외국어대학교 정보통신공학과에서 학사를 마쳤으며, 안철수연구소 기술컨설팅팀에서 침투테스트와 취약점분석 업무를 담당하고 있다. 대기업, 포털, 금융권 등 다양한 기업을 대상으로 모의해킹을 수행하였으며, 침투테스트와 위험분석, 취약점 평가방법론 그리고 인문학에 관심이 많다.

 

 

 

목차

 

CHAPTER 0 책 내용 및 핵심 포인트

누구를 위한 책인가?

책의 구조

결론

 

CHAPTER 1 쉘 스크립트 소개

쉘 스크립트

유닉스, 리눅스, OS X 쉘 스크립트

배시 기초

배시로 응용프로그램 만들기

윈도우 스크립트

파워쉘 기초

파워쉘로 응용프로그램 만들기

요약

참고문헌

 

CHAPTER 2 파이썬 소개

파이썬이란 무엇인가?

파이썬은 어디에 유용한가?

파이썬 기초

파일 처리

네트워크 통신

요약

참고문헌

 

CHAPTER 3 펄 소개

펄의 용도

펄 사용하기

펄 기초

펄로 응용프로그램 만들기

요약

참고문헌

 

CHAPTER 4 루비 소개

루비의 용도

루비 기초

루비 클래스

파일 처리

데이터베이스 기초

네트워크

루비로 응용프로그램 만들기

요약

참고문헌

 

CHAPTER 5 PHP 웹 스크립트 소개

웹 스크립트의 용도

PHP 시작하기

PHP로 폼 만들기

파일 처리 및 명령어 실행

PHP로 응용프로그램 만들기

요약

 

CHAPTER 6 파워쉘과 윈도우

파워쉘의 실행 정책

침투 테스트에서 파워쉘

파워쉘과 메타스플로잇

요약

참고문헌

 

CHAPTER 7 스캐너 스크립팅

스캐닝 툴 소개

NETCAT

NMAP

NESSUS/OPENVAS

요약

참고문헌

 

CHAPTER 8 정보수집

침투 테스트를 위한 정보수집

구글 검색 이용하기

펄을 이용한 웹 자동화

메타데이터 이용하기

응용프로그램 만들기

요약

참고문헌

 

CHAPTER 9 공격코드와 스크립팅

파이썬으로 공격코드 개발하기

메타스플로잇 공격코드 개발

PHP 스크립트 공격하기

크로스 사이트 스크립팅(XSS)

요약

 

CHAPTER 10 권한획득 이후의 공격 스크립트

권한획득 이후의 공격이 중요한 이유

윈도우 쉘 명령어

네트워크 정보 수집

메타스플로잇 미터프리터 스크립트

권한획득 이후의 공격- 데이터베이스

요약

 

부록 서브넷과 CIDR 주소

 

 

 

출판사 리뷰

 

침투 테스트를 진행하면서 주어진 시간에 대상에 침투하기 위해 목적(정보수집과 분석, 취약점 또는 대상 분석, 공격 등)에 맞는 다양한 자동화 툴을 사용하는데, 환경과 대상에 따라 기존의 툴을 그대로 사용할 수 없는 경우가 있다. 이런 경우 해당 환경이나 시스템에 맞게 툴을 수정하거나 해당 시스템에서 사용할 수 있는 스크립트로 직접 툴을 작성하는 능력이 요구된다. 이 책은 그러한 다양한 환경에서 툴을 작성하기 위한 기초적인 부분과 기능을 확장하고 응용하기 위한 방법을 주로 다룬다. 주어진 환경에 맞게 기능을 확장하거나 새로운 툴을 만드는 방법을 배우면 침투 테스트를 진행할 때 도움이 많이 된다.

 

전반부에서는 침투 테스트에 활용할 쉘 스크립트 및 각 언어(파이썬, , 루비, PHP)를 간단히 소개하고 기본적인 부분(변수, 제어문, 반복문, 파일처리, 네트워크 통신 등)을 살펴보고 간단한 활용법을 다룬다. 또한 침투 테스트에서 파워쉘을 어떻게 활용하는지도 살펴본다.

 

후반부에서는 앞에서 배운 각종 스크립트 언어를 실제 침투 테스트에서 어떻게 이용하는지를 다룬다. 기존 툴의 기능을 수정하거나 확장함으로써 효율성을 높일 수도 있고 공격코드를 작성하는 방법을 배워 활용할 수도 있다. 이 책으로 익힌 지식을 잘 활용하여 침투 테스터로서 성장하는 데 많은 도움이 되기를 바란다.

 

관련글 더보기

댓글 영역